Debian dla-4161simplesamlphp - 安全性更新

high Nessus Plugin ID 235669

語言:

概要

遠端 Debian 主機缺少安全性相關更新。

說明

遠端 Debian 11 主機上安裝了一個套件其受到 dla-4161 公告中所提及的一個弱點影響。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4161-1 [email protected] https://www.debian.org/lts/security/Tobias Frost 2025 年 5 月 9 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件 simplesamlphp 版本1.19.0-1+deb11u2 CVE ID CVE-2025-27773 Debian 錯誤1100595

在主要透過 SAML 通訊協定的驗證架構 SimpleSAMLphp 中發現一個弱點。

CVE-2025-27773

SimpleSAMLphp SAML2 程式庫是 SAML2 相關功能的 PHP 程式庫。在 4.17.0 和 5.0.0-alpha.20 版之前HTTPRedirect 系結中有簽章混淆攻擊。
擁有任何已簽署 SAMLResponse 的攻擊者可透過 HTTP 重新導向系結造成應用程式接受未簽署的訊息。
4.17.0 和 5.0.0-alpha.20 版包含問題的修正。

針對 Debian 11 Bullseye此問題已在 1.19.0-1+deb11u2 版本中修正。

建議您升級 simplesamlphp 套件。

如需有關 simplesamlphp 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/simplesamlphp

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。