Confira !!
Vários problemas foram encontrados em python-pysaml2, uma implementação python pura do SAML Versão 2 Padrão. CVE-2017-1000433
- ------------------------------------------------- ------------------------
Consultivo Debian LTS DLA-2577-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Abhijith PA
26 de fevereiro de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ------------------------
Pacote: python-pysaml2
Versão: 3.0.0-5 + deb9u2
ID CVE: CVE-2017-1000433 CVE-2021-21239
Bug Debian: 886423 CVE-2021-21239
Vários problemas foram encontrados em python-pysaml2, um python puro
implementação do SAML Versão 2 Padrão.
CVE-2017-1000433
pysaml2 aceita qualquer senha quando executado com otimizações python
ativado. Isso permite que os invasores façam login como qualquer usuário sem
sabendo sua senha.
CVE-2021-21239
pysaml2 tem uma verificação imprópria de assinatura criptográfica
vulnerabilidade. Usuários de pysaml2 que usam o padrão
Back-end CryptoBackendXmlSec1 e necessidade de verificar o SAML assinado
documentos são afetados. PySAML2 não garante que um
O documento SAML está assinado corretamente. O padrão
O back-end CryptoBackendXmlSec1 está usando o binário xmlsec1 para
verifique a assinatura de documentos SAML assinados, mas por padrão
xmlsec1 aceita qualquer tipo de chave encontrada no documento fornecido.
xmlsec1 precisa ser configurado explicitamente para usar apenas _x509
certificados_ para o processo de verificação da assinatura do documento SAML.
Para o Debian 9 stretch, esses problemas foram corrigidos na versão
3.0.0-5 + deb9u2.
Recomendamos que você atualize seus pacotes python-pysaml2.
Para o status de segurança detalhado de python-pysaml2, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/python-pysaml2
Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Atté a próxima !
Nenhum comentário:
Postar um comentário