Säkerhetsbulletin från Debian

DSA-4446-1 lemonldap-ng -- säkerhetsuppdatering

Rapporterat den:
2019-05-14
Berörda paket:
lemonldap-ng
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-12046.
Ytterligare information:

Man har upptäckt att web SSO-systemet Lemonldap:NG utförde otillräcklig validering av sessionsnycklar om alternativet tokenUseGlobalStorage är aktiverat, vilket kunde tillåta användare med åtkomst till huvudsessionens databas att få åtkomst till en anonym session.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.9.7-3+deb9u1.

Vi rekommenderar att ni uppgraderar era lemonldap-ng-paket.

För detaljerad säkerhetsstatus om lemonldap-ng vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/lemonldap-ng