Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4905-1 shibboleth-sp

Bulletin d'alerte Debian

DSA-4905-1 shibboleth-sp -- Mise à jour de sécurité

Date du rapport :

27 avril 2021

Paquets concernés :

shibboleth-sp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 987608.
Dans le dictionnaire CVE du Mitre : CVE-2021-31826.

Plus de précisions :

Le fournisseur de service Shibboleth est vulnérable à un défaut de déréférencement de pointeur NULL dans la fonction de récupération de session basée sur les cookies. Un attaquant distant non authentifié peut tirer avantage de ce défaut pour provoquer un déni de service (plantage dans le service ou le démon shibd).

Pour des informations complémentaires, veuillez vous référer à l'annonce de l'amont https://shibboleth.net/community/advisories/secadv_20210426.txt.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 3.0.4+dfsg1-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets shibboleth-sp.

Pour disposer d'un état détaillé sur la sécurité de shibboleth-sp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/shibboleth-sp.