Vulnerabilità: CVE-2020-26290

Dex è un federata provider OpenID Connect scritto in Go. In Dex prima della versione 2.27.0 v’è un insieme fondamentale di vulnerabilità che gli utenti impatti sfruttando il connettore SAML. Le vulnerabilità permette potenziale bypass firma a causa di problemi con la codifica XML nel sottostante libreria Go. Le vulnerabilità sono state affrontate in versione 2.27.0 utilizzando XML-andata e ritorno-validatore da Mattermost (vedi riferimenti relativi).


https://github.com/dexidp/dex/security/advisories/GHSA-m9hp-7r99-94h5
https://github.com/dexidp/dex/security/advisories/GHSA-m9hp-7r99-94h5
https://github.com/dexidp/dex/commit/324b1c886b407594196113a3dbddebe38eecd4e8
https://github.com/dexidp/dex/commit/324b1c886b407594196113a3dbddebe38eecd4e8
https://github.com/dexidp/dex/releases/tag/v2.27.0
https://github.com/dexidp/dex/releases/tag/v2.27.0
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-attributes.md
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-attributes.md
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-directives.md
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-directives.md
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-elements.md
https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-elements.md
https://github.com/russellhaering/goxmldsig/security/advisories/GHSA-q547-gmf8-8jr7
https://github.com/russellhaering/goxmldsig/security/advisories/GHSA-q547-gmf8-8jr7
https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/
https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26290


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi