Debians sikkerhedsbulletin
DSA-4905-1 shibboleth-sp -- sikkerhedsopdatering
- Rapporteret den:
- 27. apr 2021
- Berørte pakker:
- shibboleth-sp
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 987608.
I Mitres CVE-ordbog: CVE-2021-31826. - Yderligere oplysninger:
-
Man opdagede at Shibboleth Service Provider var sårbar over for en NULL-pointerdereferencefejl i den cookie-baserede funktionalitet til reetablering af session. En fjern, uautentificeret angriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb (nedbrud i shibd-dæmonen/-servicen).
For yderligere oplsyninger, se opstrøms bulleting på https://shibboleth.net/community/advisories/secadv_20210426.txt
I den stabile distribution (buster), er dette problem rettet i version 3.0.4+dfsg1-1+deb10u2.
Vi anbefaler at du opgraderer dine shibboleth-sp-pakker.
For detaljeret sikkerhedsstatus vedrørende shibboleth-sp, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/shibboleth-sp