Säkerhetsbulletin från Debian
DSA-4446-1 lemonldap-ng -- säkerhetsuppdatering
- Rapporterat den:
- 2019-05-14
- Berörda paket:
- lemonldap-ng
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2019-12046.
- Ytterligare information:
-
Man har upptäckt att web SSO-systemet Lemonldap:NG utförde otillräcklig validering av sessionsnycklar om alternativet
tokenUseGlobalStorage
är aktiverat, vilket kunde tillåta användare med åtkomst till huvudsessionens databas att få åtkomst till en anonym session.För den stabila utgåvan (Stretch) har detta problem rättats i version 1.9.7-3+deb9u1.
Vi rekommenderar att ni uppgraderar era lemonldap-ng-paket.
För detaljerad säkerhetsstatus om lemonldap-ng vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/lemonldap-ng