• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4414-1 libapache2-mod-auth-mellon -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4414-1 libapache2-mod-auth-mellon -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В Apache-модуле auth_mellon, предоставляющем аутентификацию SAML 2.0,
было обнаружено несколько проблем.

CVE-2019-3877
    Можно обойти проверку URL при перенаправлении во время выхода, поэтому
    модуль может использоваться в качестве открытого средства перенаправления.
CVE-2019-3878
    При использовании опции mod_auth_mellon в настройках Apache, служащей
    в качестве удалённого прокси с модулем http_proxy, можно обходить
    аутентификацию путём отправки ECP-заголовков SAML.

В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 0.12.0-2+deb9u1.
Рекомендуется обновить пакеты libapache2-mod-auth-mellon.
С подробным статусом поддержки безопасности libapache2-mod-auth-mellon можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-auth-mellon - 0.12.0-2+deb9u1
Ссылки
http://www.debian.org/security/dsa-4414/

Источник: CVE
Наименование: CVE-2019-3878
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3878

Источник: CVE
Наименование: CVE-2019-3877
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3877

Уведомление безопасности VuXML #d74371d2-4fee-11e9-a5cd-1df8a848de3d DSA-4417-1 firefox-esr -- обновление безопасности