Säkerhetsbulletin från Debian

DSA-4414-1 libapache2-mod-auth-mellon -- säkerhetsuppdatering

Rapporterat den:
2019-03-23
Berörda paket:
libapache2-mod-auth-mellon
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 925197.
I Mitres CVE-förteckning: CVE-2019-3877, CVE-2019-3878.
Ytterligare information:

Flera problem har upptäckts i Apache-modulen auth_mellon, som tillhandahåller SAML 2.0-autentisering.

  • CVE-2019-3877

    Det var möjligt att förbigå kontroll av omdirigerings-URLer vid utloggning, så modulen kunde användas som en öppen omdirigeringsfacilitet.

  • CVE-2019-3878

    När mod_auth_mellon används i en Apache-konfiguration som fungerar som en avlägsen proxy med http_proxy-modulen var det möjligt att kringgå autentisering genom att skicka SAML ECP-rubriker.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 0.12.0-2+deb9u1.

Vi rekommenderar att ni uppgraderar era libapache2-mod-auth-mellon-paket.

För detaljerad säkerhetsstatus om libapache2-mod-auth-mellon vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon