Debian DSA-2330-1：simplesamlphp - XML 加密弱點

high Nessus Plugin ID 56663

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在用於同盟驗證的應用程式 simpleSAMLphp 處理 XML 加密的過程中發現問題。已解決下列兩個問題：

可能使用 SP 做為 oracle 解密已傳送至該 SP 的加密訊息。

可能使用 SP 做為金鑰 oracle，其可用於偽造來自該 SP 的訊息，方法為發出 300000-2000000 查詢至 SP。

舊的穩定發行版本 (lenny) 不包含 simplesamlphp。

解決方案

升級 simplesamlphp 套件。

針對穩定的發行版本 (squeeze)，此問題已在 1.6.3-2 版中修正。

另請參閱

https://www.debian.org/security/2011/dsa-2330

https://packages.debian.org/source/squeeze/simplesamlphp

Plugin 詳細資訊

嚴重性: High

ID: 56663

檔案名稱: debian_DSA-2330.nasl

版本: 1.8

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2011/10/28

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:simplesamlphp, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2011/10/27

參考資訊

DSA: 2330