Aviso de seguridad de Debian

DSA-4414-1 libapache2-mod-auth-mellon -- actualización de seguridad

Fecha del informe:
23 de mar de 2019
Paquetes afectados:
libapache2-mod-auth-mellon
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 925197.
En el diccionario CVE de Mitre: CVE-2019-3877, CVE-2019-3878.
Información adicional:

Se han descubierto varios problemas en el módulo de Apache auth_mellon, que proporciona autenticación SAML 2.0.

  • CVE-2019-3877

    Era posible sortear la comprobación de URL redirigida en logout, de forma que el módulo podía usarse como una utilidad de redirección abierta.

  • CVE-2019-3878

    Al usar mod_auth_mellon en una configuración de Apache como proxy remoto con el módulo http_proxy, era posible sortear la autenticación mediante el envío de cabeceras SAML ECP.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 0.12.0-2+deb9u1.

Le recomendamos que actualice los paquetes de libapache2-mod-auth-mellon.

Para información detallada sobre el estado de seguridad de libapache2-mod-auth-mellon, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon