Debian dla-4161simplesamlphp - セキュリティ更新

high Nessus プラグイン ID 235669

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4161アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

-------------------------------------------------- ----------------------- Debian LTS アドバイザリ DLA-4161-1 [email protected] https://www.debian.org/lts/security/Tobias 2025 年 5 月 9 日 [] 2025 年 5 月 9 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージsimplesamlphp バージョン1.19.0-1+deb11u2 CVE ID CVE-2025-27773 Debian バグ1100595

認証のフレームワークである、SimpleSAMLphp で、主に SAML プロトコルを介した、脆弱性が発見されました。

CVE-2025-27773

SimpleSAMLphp SAML2 ライブラリは、SAML2 関連の機能用の PHP ライブラリです。バージョン 4.17.0 および 5.0.0-alpha.20 より前では、HTTPRedirect バインディングに署名混乱攻撃があります。
HTTP-Redirect バインディングを介して署名付きの SAMLResponse を使用する攻撃者が、アプリケーションに署名されていないメッセージを受け入れさせる可能性があります。
バージョン 4.17.0 および 5.0.0-alpha.20 には、の問題に対する修正が含まれています。

Debian 11 Bullseyeでは、この問題はバージョン1.19.0-1+deb11u2で修正されました。

お使いのsimplesamlphpのパッケージをアップグレードすることを推奨します。

simplesamlphp の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
https://security-tracker.debian.org/tracker/simplesamlphp

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。