ГлавнаяБаза уязвимостей БДУ → BDU:2019-04709
9высокая

BDU:2019-04709 (CVE-2019-3465)

Уязимость реализации протокола SAML 2.0 SimpleSAMLphp, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2019-12-17
Описание

Уязимость реализации протокола SAML 2.0 SimpleSAMLphp связана с некорректной проверкой криптографических подписей в сообщениях XML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Fedora (29)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)SimpleSAMLphp (до 3.0.3)XmlSecLibs (от 1.0.0 до 1.4.2 включительно)XmlSecLibs (от 2.0.0 до 2.1.0 включительно)XmlSecLibs (от 3.0.0 до 3.0.3 включительно)
Способ устранения

Использование рекомендаций:
Для SimpleSAMLphp:
Обновление программного обеспечения до 1.17.6-2 или более поздней версии

Для XmlSecLibs:
https://github.com/robrichards/xmlseclibs/commit/0a53d3c3aa87564910cae4ed01416441d3ae0db5

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/11/msg00003.html
https://www.debian.org/security/2019/dsa-4560

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7KID7C4AZPYYIZQIPSLANP4R2RQR6YK3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AB34ILMJ67CUROBOR6YPKB46VHXLOAJ4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESKJTWLE7QZBQ3EKMYXKMBQG3JDEJWM6/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HBE2SJSXG7J4XYLJ2H6HC2VPPOG2OMUN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MAWOVYLZKYDCQBLQEJCFAAD3KQTBPHXE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBSSRV5Q7JFCYO46A3EN624UZ4KXFQ2M/

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-3465https://security-tracker.debian.org/tracker/CVE-2019-3465https://github.com/robrichards/xmlseclibs/commit/0a53d3c3aa87564910cae4ed01416441d3ae0db5https://lists.debian.org/debian-lts-announce/2019/11/msg00003.htmlhttps://www.debian.org/security/2019/dsa-4560https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7KID7C4AZPYYIZQIPSLANP4R2RQR6YK3/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AB34ILMJ67CUROBOR6YPKB46VHXLOAJ4/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESKJTWLE7QZBQ3EKMYXKMBQG3JDEJWM6/
Проверьте безопасность своего сайта и почты → Полная проверка домена