Bulletin d'alerte Debian

DSA-4630-1 python-pysaml2 -- Mise à jour de sécurité

Date du rapport :
21 février 2020
Paquets concernés :
python-pysaml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-5390.
Plus de précisions :

pysaml2,une implémentation en Python du SAML à utiliser dans un environnement WSGI, était vulnérable à des attaques d'encapsulation de signature XML (« XML signature wrapping ») qui pourraient avoir pour conséquence un contournement de vérification de signature.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 3.0.0-5+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 5.4.1-2+deb10u1.

Nous vous recommandons de mettre à jour vos paquets python-pysaml2.

Pour disposer d'un état détaillé sur la sécurité de python-pysaml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-pysaml2.