blob: 7bad527c41548958571099c057df233c90e10b00 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
#use wml::debian::translation-check translation="e33d7a66a7c074c3cee74802c0095de375720e9e" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i SimpleSAMLphp, ett
ramverk för autentisering, primärt via SAML-protokollet.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867">CVE-2017-12867</a>
<p>Angripare med åtkomst till en hemlig token kunde utöka dess
giltighetsperiod genom att manipulera den förutbestämda tidsförskjutningen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869">CVE-2017-12869</a>
<p>Vid användning av multiauth-modulen kan angripare förbigå
autentiseringkontextbegränsningar och använda alla autentiseringskällor
som finns i konfigurationen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873">CVE-2017-12873</a>
<p>Defensiva åtgärder har tagits för att förhindra administratören
från att felkonfigurera bestående NameIDs för att undvika
identifierarkonflikter. (Påverkar endast Debian 8 Jessie).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874">CVE-2017-12874</a>
<p>InfoCardmodulen kunde i sällsynta fall acceptera felaktigt
signerade XML-meddelanden.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121">CVE-2017-18121</a>
<p>consentAdmin-modulen var sårbar för en ett sajtöverskridande
skriptangrepp, som tillåter en angripare att skapa länkar som kunde
exekvera godtycklig JavaScript-kod i offrets webbläsare.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122">CVE-2017-18122</a>
<p>(Den utfasade) SAML 1.1-implementationen kunde anta att alla
icke signerade SAML-svar som innehöll mer än ett signerat antagande
som giltiga, förutsatt att signaturen från minst ett antagande var
giltigt, vilket tillåter en angripare som kunde gå ett giltigt
signerat antagande från en IdP att personifiera användare från denna
IdP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519">CVE-2018-6519</a>
<p>Överbelastning i reguljära uttryck vid tolkning av extraordinärt
långa tidsstämplar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521">CVE-2018-6521</a>
<p>Ändra sqlauth modul MySQL teckenuppsättning från utf8 till
utf8mb för att förhindra teoretisk förfrågeavklippning som kunde
tillåta fjärrangripare att förbigå avsedda åtkomstbegränsningar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644">CVE-2018-7644</a>
<p>Kritisk signaturvalideringssårbarhet.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Jessie) har dessa problem rättats
i version 1.13.1-2+deb8u1.</p>
<p>För den stabila utgåvan (Stretch) har dessa problem rättats i
version 1.14.11-1+deb9u1.</p>
<p>Vi rekommenderar att ni uppgraderar era simplesamlphp-paket.</p>
<p>För detaljerad säkerhetsstatus om simplesamlphp vänligen se
dess säkerhetsspårare på
<a href="https://security-tracker.debian.org/tracker/simplesamlphp">\
https://security-tracker.debian.org/tracker/simplesamlphp</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4127.data"
|