Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4109-1 ruby-omniauth

Säkerhetsbulletin från Debian

DSA-4109-1 ruby-omniauth -- säkerhetsuppdatering

Rapporterat den:

2018-02-09

Berörda paket:

ruby-omniauth

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 888523.
I Mitres CVE-förteckning: CVE-2017-18076.

Ytterligare information:

Lalith Rallabhandi upptäckte att OmniAuth, ett Ruby-bibliotek för implementation av autentisering av flera leverantörer i webbapplikationer, hanterades felaktigt och läckte känslig information. En angripare med åtkomst till återkallningsmiljön, så som i fallet med en skapad webbapplikation, kunde efterfråga autentiseringstjänster från denna modul, och åtkomst till CSRF-polletten.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.2.1-1+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.3.1-1+deb9u1.

Vi rekommenderar att ni uppgraderar era ruby-omniauth-paket.

För detaljerad säkerhetsstatus om ruby-omniauth vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ruby-omniauth