Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4109-1 ruby-omniauth

Debians sikkerhedsbulletin

DSA-4109-1 ruby-omniauth -- sikkerhedsopdatering

Rapporteret den:

9. feb 2018

Berørte pakker:

ruby-omniauth

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 888523.
I Mitres CVE-ordbog: CVE-2017-18076.

Yderligere oplysninger:

Lalith Rallabhandi opdagede at OmniAuth, et Ruby-bibliotek til implementering af autentifikation mod flere leverandører i webapplikationer, fejlbehandlede og lækkede følsomme oplysninger. En angriber med adgang til callback-miljøet, som det er tilfældet med en fabrikeret webapplikation, kunne bede om autentifikationstjenester fra dette modul, og tilgå CSRF-token'et.

I den gamle stabile distribution (jessie), er dette problem rettet i version 1.2.1-1+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 1.3.1-1+deb9u1.

Vi anbefaler at du opgraderer dine ruby-omniauth-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby-omniauth, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-omniauth