Рекомендация Debian по безопасности
DSA-4926-1 lasso -- обновление безопасности
- Дата сообщения:
- 03.06.2021
- Затронутые пакеты:
- lasso
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2021-28091.
- Более подробная информация:
-
Было обнаружено, что lasso, библиотека, реализующая стандарты SAML 2.0 и Liberty Alliance, неправильно выполняет проверку того, что все утверждения в SAML-ответе правильно подписаны, позволяя злоумышленнику выдавать себя за других пользователей или обходить контроль доступа.
В стабильном выпуске (buster) эта проблема была исправлена в версии 2.6.0-2+deb10u1.
Рекомендуется обновить пакеты lasso.
С подробным статусом поддержки безопасности lasso можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/lasso