Debians sikkerhedsbulletin

DSA-4414-1 libapache2-mod-auth-mellon -- sikkerhedsopdatering

Rapporteret den:
23. mar 2019
Berørte pakker:
libapache2-mod-auth-mellon
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 925197.
I Mitres CVE-ordbog: CVE-2019-3877, CVE-2019-3878.
Yderligere oplysninger:

Flere problemer er opdaget i Apache-modulet auth_mellon, hvilket leverer SAML 2.0-autentifikation.

  • CVE-2019-3877

    Der var muligt at omgå kontrollen af viderestillings-URL'en ved udlogning, således at modulet kunne anvendes som en åben viderestillings-facilitet.

  • CVE-2019-3878

    Når mod_auth_mellon anvendes i en Apache-opsætning, der fungerer som en fjernproxy med modulet http_proxy, var det muligt at omgå autentifikation ved at sende SAML ECP-headere.

I den stabile distribution (stretch), er disse problemer rettet i version 0.12.0-2+deb9u1.

Vi anbefaler at du opgraderer dine libapache2-mod-auth-mellon-pakker.

For detaljeret sikkerhedsstatus vedrørende libapache2-mod-auth-mellon, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon