Информация по безопасности / 2020 / Информация о безопасности -- DSA-4762-1 lemonldap-ng

Рекомендация Debian по безопасности

DSA-4762-1 lemonldap-ng -- обновление безопасности

Дата сообщения:

07.09.2020

Затронутые пакеты:

lemonldap-ng

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2020-24660.

Более подробная информация:

Было обнаружено, что файлы с настройками по умолчанию для запуска веб-системы SSO Lemonldap::NG на веб-сервере Nginx может содержать уязвимость, приводящую к обходу авторизации для правил доступа по URL. Пакеты Debian не используют по умолчанию Nginx.

В стабильном выпуске (buster) эта проблема была исправлена в версии 2.0.2+ds-7+deb10u5, данное обновление предоставляет исправленный пример настроек, который следует включить в систему Lemonldap::NG, если она развёрнута на основе Nginx.

Рекомендуется обновить пакеты lemonldap-ng.

С подробным статусом поддержки безопасности lemonldap-ng можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/lemonldap-ng