Debian DSA-2330-1：simplesamlphp - XML 加密漏洞

high Nessus 插件 ID 56663

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在用于联合认证的应用程序 simpleSAMLphp 处理 XML 加密的过程中发现问题。现已解决以下两个问题：

可能使用 SP 作为 oracle 解密发送至该 SP 的加密消息。

可能使用 SP 作为密钥 oracle，其可用于伪造来自该 SP 的消息，方法为将 300000-2000000 查询发出到 SP。

旧稳定发行版本 (lenny) 不包含 simplesamlphp。

解决方案

升级 simplesamlphp 程序包。

对于稳定发行版本 (squeeze)，已在版本 1.6.3-2 中修复了此问题。

另见

https://www.debian.org/security/2011/dsa-2330

https://packages.debian.org/source/squeeze/simplesamlphp

插件详情

严重性: High

ID: 56663

文件名: debian_DSA-2330.nasl

版本: 1.8

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2011/10/28

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:simplesamlphp, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2011/10/27

参考资料信息

DSA: 2330