[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] wml://security/2018/dsa-4127.wml



Hola:

Sin cambios desde el RFR.

Un saludo,

Rafa.

#use wml::debian::translation-check translation="1.3"
<define-tag description>actualización de seguridad</define-tag>
<define-tag moreinfo>
<p>Se han descubierto varias vulnerabilidades en SimpleSAMLphp, una
infraestructura de soporte para autenticación principalmente mediante el protocolo SAML.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867";>CVE-2017-12867</a>

    <p>Atacantes con acceso a un token secreto podrían extender su periodo
    de validez manipulando el prefijo que representa un desplazamiento horario.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869";>CVE-2017-12869</a>

    <p>Al utilizar el módulo multiauth, los atacantes pueden sortear restricciones
    de contexto de autenticación y usar cualquier fuente de autenticación definida en
    la configuración.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873";>CVE-2017-12873</a>

    <p>Se han tomado medidas defensivas para impedir que el administrador
    cometa errores en la configuración de NameIDs persistentes, para evitar la colisión de identificadores.
    (Solo afecta a Debian 8 Jessie).</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874";>CVE-2017-12874</a>

    <p>El módulo InfoCard podría aceptar, en raras ocasiones, mensajes XML
    firmados incorrectamente.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121";>CVE-2017-18121</a>

    <p>El módulo consentAdmin era vulnerable a un ataque de cross-site
    scripting que permitía que un atacante manipulara enlaces que podrían ejecutar
    código JavaScript arbitrario en el navegador web de la víctima.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122";>CVE-2017-18122</a>

    <p>La (discontinuada) implementación SAML 1.1 consideraría válida cualquier
    respuesta SAML sin firmar que contuviera más de una aserción firmada,
    siempre y cuando la firma de, al menos, una de las aserciones fuera
    válida, lo que permitiría que un atacante que pudiera conseguir una aserción firmada
    válida de un IdP suplantara a usuarios de ese IdP.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519";>CVE-2018-6519</a>

    <p>Denegación de servicio en expresiones regulares al analizar marcas temporales («timestamps»)
    extraordinariamente largas.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521";>CVE-2018-6521</a>

    <p>Cambia de utf8 a utf8mb la codificación de caracteres MySQL para el módulo sqlauth con el objetivo de
    prevenir teóricos truncamientos de consultas que podrían permitir que atacantes
    remotos sortearan restricciones de acceso.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644";>CVE-2018-7644</a>

    <p>Vulnerabilidad de validación de firmas crítica.</p></li>

</ul>

<p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido
en la versión 1.13.1-2+deb8u1.</p>

<p>Para la distribución «estable» (stretch), estos problemas se han corregido en
la versión 1.14.11-1+deb9u1.</p>

<p>Le recomendamos que actualice los paquetes de simplesamlphp.</p>

<p>Para información detallada sobre el estado de seguridad de simplesamlphp consulte
su página del «security tracker» en:
<a href="https://security-tracker.debian.org/tracker/simplesamlphp";>\
https://security-tracker.debian.org/tracker/simplesamlphp</a></p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2018/dsa-4127.data"

Attachment: signature.asc
Description: PGP signature


Reply to: