Hola, Rafa: Sin nada que comentar para este fichero. Gracias por tanto trabajo. Saludos, Javier On Wed, Mar 14, 2018 at 08:03:44PM +0100, Rafa wrote: > Hola: > > Sin cambios desde el RFR. > > Un saludo, > > Rafa. > > #use wml::debian::translation-check translation="1.3" > <define-tag description>actualización de seguridad</define-tag> > <define-tag moreinfo> > <p>Se han descubierto varias vulnerabilidades en SimpleSAMLphp, una > infraestructura de soporte para autenticación principalmente mediante el protocolo SAML.</p> > > <ul> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12867">CVE-2017-12867</a> > > <p>Atacantes con acceso a un token secreto podrían extender su periodo > de validez manipulando el prefijo que representa un desplazamiento horario.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12869">CVE-2017-12869</a> > > <p>Al utilizar el módulo multiauth, los atacantes pueden sortear restricciones > de contexto de autenticación y usar cualquier fuente de autenticación definida en > la configuración.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12873">CVE-2017-12873</a> > > <p>Se han tomado medidas defensivas para impedir que el administrador > cometa errores en la configuración de NameIDs persistentes, para evitar la colisión de identificadores. > (Solo afecta a Debian 8 Jessie).</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-12874">CVE-2017-12874</a> > > <p>El módulo InfoCard podría aceptar, en raras ocasiones, mensajes XML > firmados incorrectamente.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18121">CVE-2017-18121</a> > > <p>El módulo consentAdmin era vulnerable a un ataque de cross-site > scripting que permitía que un atacante manipulara enlaces que podrían ejecutar > código JavaScript arbitrario en el navegador web de la víctima.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2017-18122">CVE-2017-18122</a> > > <p>La (discontinuada) implementación SAML 1.1 consideraría válida cualquier > respuesta SAML sin firmar que contuviera más de una aserción firmada, > siempre y cuando la firma de, al menos, una de las aserciones fuera > válida, lo que permitiría que un atacante que pudiera conseguir una aserción firmada > válida de un IdP suplantara a usuarios de ese IdP.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6519">CVE-2018-6519</a> > > <p>Denegación de servicio en expresiones regulares al analizar marcas temporales («timestamps») > extraordinariamente largas.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-6521">CVE-2018-6521</a> > > <p>Cambia de utf8 a utf8mb la codificación de caracteres MySQL para el módulo sqlauth con el objetivo de > prevenir teóricos truncamientos de consultas que podrían permitir que atacantes > remotos sortearan restricciones de acceso.</p></li> > > <li><a href="https://security-tracker.debian.org/tracker/CVE-2018-7644">CVE-2018-7644</a> > > <p>Vulnerabilidad de validación de firmas crítica.</p></li> > > </ul> > > <p>Para la distribución «antigua estable» (jessie), estos problemas se han corregido > en la versión 1.13.1-2+deb8u1.</p> > > <p>Para la distribución «estable» (stretch), estos problemas se han corregido en > la versión 1.14.11-1+deb9u1.</p> > > <p>Le recomendamos que actualice los paquetes de simplesamlphp.</p> > > <p>Para información detallada sobre el estado de seguridad de simplesamlphp consulte > su página del «security tracker» en: > <a href="https://security-tracker.debian.org/tracker/simplesamlphp">\ > https://security-tracker.debian.org/tracker/simplesamlphp</a></p> > </define-tag> > > # do not modify the following line > #include "$(ENGLISHDIR)/security/2018/dsa-4127.data" -- Javier <jac@inventati.org, 0x9E48FD42>
Attachment:
signature.asc
Description: PGP signature