FERRAMENTAS LINUX: Atualização de segurança do Debian para o python-pysaml2, aviso Debian LTS: DLA-2577-1

sexta-feira, 26 de fevereiro de 2021

Atualização de segurança do Debian para o python-pysaml2, aviso Debian LTS: DLA-2577-1



Confira !!


Vários problemas foram encontrados em python-pysaml2, uma implementação python pura do SAML Versão 2 Padrão. CVE-2017-1000433


- ------------------------------------------------- ------------------------

Consultivo Debian LTS DLA-2577-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Abhijith PA

26 de fevereiro de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: python-pysaml2

Versão: 3.0.0-5 + deb9u2

ID CVE: CVE-2017-1000433 CVE-2021-21239

Bug Debian: 886423 CVE-2021-21239


Vários problemas foram encontrados em python-pysaml2, um python puro 

implementação do SAML Versão 2 Padrão.


CVE-2017-1000433


     pysaml2 aceita qualquer senha quando executado com otimizações python 

     ativado. Isso permite que os invasores façam login como qualquer usuário sem

     sabendo sua senha.


CVE-2021-21239


     pysaml2 tem uma verificação imprópria de assinatura criptográfica

     vulnerabilidade. Usuários de pysaml2 que usam o padrão

     Back-end CryptoBackendXmlSec1 e necessidade de verificar o SAML assinado

     documentos são afetados. PySAML2 não garante que um

     O documento SAML está assinado corretamente. O padrão

     O back-end CryptoBackendXmlSec1 está usando o binário xmlsec1 para

     verifique a assinatura de documentos SAML assinados, mas por padrão

     xmlsec1 aceita qualquer tipo de chave encontrada no documento fornecido.

     xmlsec1 precisa ser configurado explicitamente para usar apenas _x509

     certificados_ para o processo de verificação da assinatura do documento SAML.


Para o Debian 9 stretch, esses problemas foram corrigidos na versão

3.0.0-5 + deb9u2.


Recomendamos que você atualize seus pacotes python-pysaml2.


Para o status de segurança detalhado de python-pysaml2, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/python-pysaml2


Mais informações sobre os avisos de segurança Debian LTS, como se inscrever

essas atualizações em seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS




Fonte

Atté a próxima !

Nenhum comentário:

Postar um comentário