漏洞信息详情
Mahara auth/saml插件安全漏洞
- CNNVD编号:CNNVD-201207-156
- 危害等级: 中危
- CVE编号: CVE-2012-2351
- 漏洞类型: 配置错误
- 发布时间: 2012-07-13
- 威胁类型: 远程
- 更新时间: 2012-07-13
- 厂 商: mahara
- 漏洞来源:
漏洞简介
Catalyst Mahara是新西兰Catalyst IT公司的一套社交网络系统。该系统包含博客、履历表生成器、文件管理器等。
Mahara 1.4.2之前版本中的auth/saml插件中的默认配置中存在漏洞,该漏洞源于设置‘匹配用户名属性到远程用户名’操作为否。远程SAML IdP服务器可利用该漏洞通过使用相同内部用户名欺骗其他SAML IdP服务器的用户。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://gitorious.org/mahara/mahara/commit/f07be6020e70fa8f53cd77fdcd63e7fd7ff8aaea
参考网址
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/mahara/+bug/932909
来源: MLIST
名称: [oss-security] 20120512 Re: CVE request: mahara
链接:http://www.openwall.com/lists/oss-security/2012/05/12/4
来源: MLIST
名称: [oss-security] 20120511 CVE request: mahara
链接:http://www.openwall.com/lists/oss-security/2012/05/11/9
来源: DEBIAN
名称: DSA-2467
链接:http://www.debian.org/security/2012/dsa-2467
来源: gitorious.org
链接:http://gitorious.org/mahara/mahara/commit/f07be6020e70fa8f53cd77fdcd63e7fd7ff8aaea
受影响实体
- Mahara Mahara:1.3.5
- Mahara Mahara:1.3.6
- Mahara Mahara:1.3.7
- Mahara Mahara:1.3.4
- Mahara Mahara:1.4:Rc3
补丁
- Mahara 1.4.2
- Mahara 1.4.2
- Mahara 1.4.2
评论