Рекомендация Debian по безопасности

DSA-4762-1 lemonldap-ng -- обновление безопасности

Дата сообщения:
07.09.2020
Затронутые пакеты:
lemonldap-ng
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-24660.
Более подробная информация:

Было обнаружено, что файлы с настройками по умолчанию для запуска веб-системы SSO Lemonldap::NG на веб-сервере Nginx может содержать уязвимость, приводящую к обходу авторизации для правил доступа по URL. Пакеты Debian не используют по умолчанию Nginx.

В стабильном выпуске (buster) эта проблема была исправлена в версии 2.0.2+ds-7+deb10u5, данное обновление предоставляет исправленный пример настроек, который следует включить в систему Lemonldap::NG, если она развёрнута на основе Nginx.

Рекомендуется обновить пакеты lemonldap-ng.

С подробным статусом поддержки безопасности lemonldap-ng можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/lemonldap-ng