1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
|
#use wml::debian::translation-check translation="e33d7a66a7c074c3cee74802c0095de375720e9e" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В SimpleSAMLphp, инфраструктуре для аутентификации в основном по
протоколу SAML, было обнаружено несколько уязвимостей.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867">CVE-2017-12867</a>
<p>Злоумышленники, имеющие доступ к секретному токену, могут продлить его срок
действия, изменяя смещение времени.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869">CVE-2017-12869</a>
<p>При использовании модуля multiauth злоумышленник может обходить ограничения
контекста аутентификации и использовать любой источник аутентификации, определённый
в настройках.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873">CVE-2017-12873</a>
<p>Были предприняты защитные меры с целью предотвращения некорректных настроек
постоянных NameID администратором, чтобы не происходили конфликты идентификаторов.
(Эта уязвимость касается только Debian 8 Jessie.)</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874">CVE-2017-12874</a>
<p>Модуль InfoCard в редких случаях может принимать неправильно подписанные
XML-сообщения.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121">CVE-2017-18121</a>
<p>Модуль consentAdmin уязвим к межсайтовом скриптингу, что позволяет
злоумышленнику подделывать ссылки, обращение к которым приводит к выполнению
произвольного кода на языке JavaScript в браузере жертвы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122">CVE-2017-18122</a>
<p>Реализация SAML 1.1 (устаревшая) рассматривает в качестве правильного любой
неподписанный SAML-ответ, содержащий более одного подписанного утверждения
при условии, что подпись хотя бы одного из утверждений является верной.
Это позволяет злоумышленнику, обладающему утверждением с правильной подписью
от IdP, выдавать себя за пользователей этого IdP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519">CVE-2018-6519</a>
<p>Отказ в обслуживании в регулярном выражении при выполнении грамматического
разбора длинных временных меток.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521">CVE-2018-6521</a>
<p>Изменена кодировка символов в модуле sqlauth для MySQL с utf8 на utf8mb
с целью предотвращения теоретического обрезания запроса, что может позволить
удалённым злоумышленникам обходить ограничения доступа</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644">CVE-2018-7644</a>
<p>Критическая уязвимость в коде проверки подписи.</p></li>
</ul>
<p>В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 1.13.1-2+deb8u1.</p>
<p>В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.14.11-1+deb9u1.</p>
<p>Рекомендуется обновить пакеты simplesamlphp.</p>
<p>С подробным статусом поддержки безопасности simplesamlphp можно ознакомиться на
соответствующей станице отслеживания безопасности по адресу
<a href="https://security-tracker.debian.org/tracker/simplesamlphp">\
https://security-tracker.debian.org/tracker/simplesamlphp</a></p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4127.data"
# $Id$
|
