Hola: Sin cambios desde el RFR. Un saludo, Rafa.
#use wml::debian::translation-check translation="1.3" <define-tag description>actualización de seguridad</define-tag> <define-tag moreinfo> <p>Se han descubierto varias vulnerabilidades en SimpleSAMLphp, una infraestructura de soporte para autenticación principalmente mediante el protocolo SAML.</p> <ul> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867">CVE-2017-12867</a> <p>Atacantes con acceso a un token secreto podrían extender su periodo de validez manipulando el prefijo que representa un desplazamiento horario.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869">CVE-2017-12869</a> <p>Al utilizar el módulo multiauth, los atacantes pueden sortear restricciones de contexto de autenticación y usar cualquier fuente de autenticación definida en la configuración.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873">CVE-2017-12873</a> <p>Se han tomado medidas defensivas para impedir que el administrador cometa errores en la configuración de NameIDs persistentes, para evitar la colisión de identificadores. (Solo afecta a Debian 8 Jessie).</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874">CVE-2017-12874</a> <p>El módulo InfoCard podría aceptar, en raras ocasiones, mensajes XML firmados incorrectamente.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121">CVE-2017-18121</a> <p>El módulo consentAdmin era vulnerable a un ataque de cross-site scripting que permitía que un atacante manipulara enlaces que podrían ejecutar código JavaScript arbitrario en el navegador web de la víctima.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122">CVE-2017-18122</a> <p>La (discontinuada) implementación SAML 1.1 consideraría válida cualquier respuesta SAML sin firmar que contuviera más de una aserción firmada, siempre y cuando la firma de, al menos, una de las aserciones fuera válida, lo que permitiría que un atacante que pudiera conseguir una aserción firmada válida de un IdP suplantara a usuarios de ese IdP.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519">CVE-2018-6519</a> <p>Denegación de servicio en expresiones regulares al analizar marcas temporales («timestamps») extraordinariamente largas.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521">CVE-2018-6521</a> <p>Cambia de utf8 a utf8mb la codificación de caracteres MySQL para el módulo sqlauth con el objetivo de prevenir teóricos truncamientos de consultas que podrían permitir que atacantes remotos sortearan restricciones de acceso.</p></li> <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644">CVE-2018-7644</a> <p>Vulnerabilidad de validación de firmas crítica.</p></li> </ul> <p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 1.13.1-2+deb8u1.</p> <p>Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.14.11-1+deb9u1.</p> <p>Le recomendamos que actualice los paquetes de simplesamlphp.</p> <p>Para información detallada sobre el estado de seguridad de simplesamlphp consulte su página del «security tracker» en: <a href="https://security-tracker.debian.org/tracker/simplesamlphp">\ https://security-tracker.debian.org/tracker/simplesamlphp</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2018/dsa-4127.data"
Attachment:
signature.asc
Description: PGP signature