CH azonosító
CH-5263Angol cím
Shibboleth Identity / Service Provider OpenSAML Security Bypass VulnerabilityFelfedezés dátuma
2011.07.25.Súlyosság
KözepesÖsszefoglaló
A Shibboleth Identity Provider és Service Provider olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági vizsgálatokat.
Leírás
A sérülékenységet a sérülékeny OpenSAML kód használata okozza. Az OpenSAML XML könyvtár nem megfelelően ellenőriz bizonyos aláírt XML üzeneteket, ezt kihasználva megkerülhető az ellenőrzés “burkolt támadásokkal” (wrapping attack).
A sérülékenységet az OpenSAML C könyvtár 2.4.3 és Java könyvtár 2.5.1 verziójánál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45432
SECUNIA 45385
CVE-2011-1411 - NVD CVE-2011-1411
Gyártói referencia: shibboleth.internet2.edu
