Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В Apache-модуле auth_mellon, предоставляющем аутентификацию SAML 2.0,
было обнаружено несколько проблем.
CVE-2019-3877
Можно обойти проверку URL при перенаправлении во время выхода, поэтому
модуль может использоваться в качестве открытого средства перенаправления.
CVE-2019-3878
При использовании опции mod_auth_mellon в настройках Apache, служащей
в качестве удалённого прокси с модулем http_proxy, можно обходить
аутентификацию путём отправки ECP-заголовков SAML.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 0.12.0-2+deb9u1.
Рекомендуется обновить пакеты libapache2-mod-auth-mellon.
С подробным статусом поддержки безопасности libapache2-mod-auth-mellon можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon
было обнаружено несколько проблем.
CVE-2019-3877
Можно обойти проверку URL при перенаправлении во время выхода, поэтому
модуль может использоваться в качестве открытого средства перенаправления.
CVE-2019-3878
При использовании опции mod_auth_mellon в настройках Apache, служащей
в качестве удалённого прокси с модулем http_proxy, можно обходить
аутентификацию путём отправки ECP-заголовков SAML.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 0.12.0-2+deb9u1.
Рекомендуется обновить пакеты libapache2-mod-auth-mellon.
С подробным статусом поддержки безопасности libapache2-mod-auth-mellon можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon">https://security-tracker.debian.org/tracker/libapache2-mod-auth-mellon
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libapache2-mod-auth-mellon - 0.12.0-2+deb9u1
Debian GNU/Linux 9:
noarch:
libapache2-mod-auth-mellon - 0.12.0-2+deb9u1
Ссылки
http://www.debian.org/security/dsa-4414/
Источник: CVE
Наименование: CVE-2019-3878
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3878
Источник: CVE
Наименование: CVE-2019-3877
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3877
Источник: CVE
Наименование: CVE-2019-3878
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3878
Источник: CVE
Наименование: CVE-2019-3877
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3877
