Bulletin d'alerte Debian

DSA-4762-1 lemonldap-ng -- Mise à jour de sécurité

Date du rapport :
7 septembre 2020
Paquets concernés :
lemonldap-ng
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-24660.
Plus de précisions :

Les fichiers de configuration par défaut pour l'exécution du système Web SSO Lemonldap::NG sur le serveur web Nginx étaient vulnérables à un contournement d'autorisation des règles d'accès à l'URL. Le paquet Debian n'utilise pas Nginx par défaut.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 2.0.2+ds-7+deb10u5, cette mise à jour fournit un exemple de configuration corrigée qui doit être intégré aux déploiements de Lemonldap::NG basés sur Nginx.

Nous vous recommandons de mettre à jour vos paquets lemonldap-ng.

Pour disposer d'un état détaillé sur la sécurité de lemonldap-ng, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lemonldap-ng.