製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

PySAML2 におけるデジタル署名の検証に関する脆弱性

タイトル	PySAML2 におけるデジタル署名の検証に関する脆弱性
概要	PySAML2 には、デジタル署名の検証に関する脆弱性が存在します。
想定される影響	情報を改ざんされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年1月20日0:00
登録日	2021年10月6日18:05
最終更新日	2021年10月6日18:05

CVSS3.0 : 警告
スコア	6.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:P/A:N

影響を受けるシステム

Debian

Debian GNU/Linux

PySAML2 project

PySAML2 6.5.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-21239	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21239
National Vulnerability Database (NVD)
2	CVE-2021-21239	https://nvd.nist.gov/vuln/detail/CVE-2021-21239

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-347	https://cwe.mitre.org/data/definitions/347.html

ベンダー情報

No	名前	URL
Debian
1	[SECURITY] [DLA 2577-1] python-pysaml2 security update	https://lists.debian.org/debian-lts-announce/2021/02/msg00038.html
GitHub
2	Merge pull request from GHSA-5p3x-r448-pc62	https://github.com/IdentityPython/pysaml2/commit/46578df0695269a16f1c94171f1429873f90ed99
Python Package Index (PyPI)
3	pysaml2 7.0.1	https://pypi.org/project/pysaml2/

変更履歴

No	変更内容	変更日
1	[2021年10月06日] 掲載	2021年10月6日18:05

NVD脆弱性情報

CVE-2021-21239

概要	PySAML2 is a pure python implementation of SAML Version 2 Standard. PySAML2 before 6.5.0 has an improper verification of cryptographic signature vulnerability. Users of pysaml2 that use the default CryptoBackendXmlSec1 backend and need to verify signed SAML documents are impacted. PySAML2 does not ensure that a signed SAML document is correctly signed. The default CryptoBackendXmlSec1 backend is using the xmlsec1 binary to verify the signature of signed SAML documents, but by default xmlsec1 accepts any type of key found within the given document. xmlsec1 needs to be configured explicitly to only use only _x509 certificates_ for the verification process of the SAML document signature. This is fixed in PySAML2 6.5.0.
公表日	2021年1月22日0:15
登録日	2021年1月26日10:40
最終更新日	2024年11月21日14:47

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:pysaml2_project:pysaml2::::::::					6.5.0

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:9.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/IdentityPython/pysaml2/commit/46578df0695269a16f1c94171f1429873f90ed99		Patch Third Party Advisory
2	https://github.com/IdentityPython/pysaml2/commit/46578df0695269a16f1c94171f1429873f90ed99		Patch Third Party Advisory
3	https://github.com/IdentityPython/pysaml2/releases/tag/v6.5.0		Third Party Advisory
4	https://github.com/IdentityPython/pysaml2/releases/tag/v6.5.0		Third Party Advisory
5	https://github.com/IdentityPython/pysaml2/security/advisories/GHSA-5p3x-r448-pc62		Third Party Advisory
6	https://github.com/IdentityPython/pysaml2/security/advisories/GHSA-5p3x-r448-pc62		Third Party Advisory
7	https://lists.debian.org/debian-lts-announce/2021/02/msg00038.html		Mailing List Third Party Advisory
8	https://lists.debian.org/debian-lts-announce/2021/02/msg00038.html		Mailing List Third Party Advisory
9	https://pypi.org/project/pysaml2		Product Third Party Advisory
10	https://pypi.org/project/pysaml2		Product Third Party Advisory
11	https://www.aleksey.com/pipermail/xmlsec/2013/009717.html		Exploit Mailing List Third Party Advisory
12	https://www.aleksey.com/pipermail/xmlsec/2013/009717.html		Exploit Mailing List Third Party Advisory

共通脆弱性一覧