Bulletin d'alerte Debian

DSA-4414-1 libapache2-mod-auth-mellon -- Mise à jour de sécurité

Date du rapport :
23 mars 2019
Paquets concernés :
libapache2-mod-auth-mellon
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 925197.
Dans le dictionnaire CVE du Mitre : CVE-2019-3877, CVE-2019-3878.
Plus de précisions :

Plusieurs problèmes ont été découverts dans le module Apache auth_mellon qui fournit l'authentification SAML 2.0.

  • CVE-2019-3877

    Il était possible de contourner la vérification de redirection d'URL à la déconnexion, ainsi le module pouvait être utilisé comme une fonctionnalité de redirection d'ouverture.

  • CVE-2019-3878

    Lorsque mod_auth_mellon est utilisé dans une configuration d'Apache qui sert de mandataire distant avec le module http_proxy, il était possible de contourner l'authentification en envoyant des en-têtes SAML ECP.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 0.12.0-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-mellon.

Pour disposer d'un état détaillé sur la sécurité de libapache2-mod-auth-mellon, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon.