blob: cbd95720be1413dc1ed2c63c7984b5441ef5d156 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
|
#use wml::debian::translation-check translation="e33d7a66a7c074c3cee74802c0095de375720e9e"
<define-tag description>actualización de seguridad</define-tag>
<define-tag moreinfo>
<p>Se han descubierto varias vulnerabilidades en SimpleSAMLphp, una
infraestructura de soporte para autenticación principalmente mediante el protocolo SAML.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867">CVE-2017-12867</a>
<p>Atacantes con acceso a un token secreto podrían extender su periodo
de validez manipulando el prefijo que representa un desplazamiento horario.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869">CVE-2017-12869</a>
<p>Al utilizar el módulo multiauth, los atacantes pueden sortear restricciones
de contexto de autenticación y usar cualquier fuente de autenticación definida en
la configuración.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873">CVE-2017-12873</a>
<p>Se han tomado medidas defensivas para impedir que el administrador
cometa errores en la configuración de NameIDs persistentes, para evitar la colisión de identificadores.
(Solo afecta a Debian 8 Jessie).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874">CVE-2017-12874</a>
<p>El módulo InfoCard podría aceptar, en raras ocasiones, mensajes XML
firmados incorrectamente.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121">CVE-2017-18121</a>
<p>El módulo consentAdmin era vulnerable a un ataque de cross-site
scripting que permitía que un atacante manipulara enlaces que podrían ejecutar
código JavaScript arbitrario en el navegador web de la víctima.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122">CVE-2017-18122</a>
<p>La (discontinuada) implementación SAML 1.1 consideraría válida cualquier
respuesta SAML sin firmar que contuviera más de una aserción firmada,
siempre y cuando la firma de, al menos, una de las aserciones fuera
válida, lo que permitiría que un atacante que pudiera conseguir una aserción firmada
válida de un IdP suplantara a usuarios de ese IdP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519">CVE-2018-6519</a>
<p>Denegación de servicio en expresiones regulares al analizar marcas temporales («timestamps»)
extraordinariamente largas.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521">CVE-2018-6521</a>
<p>Cambia de utf8 a utf8mb la codificación de caracteres MySQL para el módulo sqlauth con el objetivo de
prevenir teóricos truncamientos de consultas que podrían permitir que atacantes
remotos sortearan restricciones de acceso.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644">CVE-2018-7644</a>
<p>Vulnerabilidad de validación de firmas crítica.</p></li>
</ul>
<p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido
en la versión 1.13.1-2+deb8u1.</p>
<p>Para la distribución «estable» (stretch), estos problemas se han corregido en
la versión 1.14.11-1+deb9u1.</p>
<p>Le recomendamos que actualice los paquetes de simplesamlphp.</p>
<p>Para información detallada sobre el estado de seguridad de simplesamlphp consulte
su página del «security tracker» en:
<a href="https://security-tracker.debian.org/tracker/simplesamlphp">\
https://security-tracker.debian.org/tracker/simplesamlphp</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4127.data"
|
