Debians sikkerhedsbulletin
DSA-4446-1 lemonldap-ng -- sikkerhedsopdatering
- Rapporteret den:
- 14. maj 2019
- Berørte pakker:
- lemonldap-ng
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-12046.
- Yderligere oplysninger:
-
Man opdagede at web-SSO-systemet Lemonldap::NG udførte utilstrækkelig validering af sessiontokens, hvis valgmuligheden
tokenUseGlobalStorage
er aktiveret, hvilket kunne give brugere med adgang til den primære sessiondatabase, adgang til en anonym session.I den stabile distribution (stretch), er dette problem rettet i version 1.9.7-3+deb9u1.
Vi anbefaler at du opgraderer dine lemonldap-ng-pakker.
For detaljeret sikkerhedsstatus vedrørende lemonldap-ng, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/lemonldap-ng