Shibboleth Identity és Service Provider OpenSAML biztonsági sérülékenység

CH azonosító

CH-5263

Angol cím

Shibboleth Identity / Service Provider OpenSAML Security Bypass Vulnerability

Felfedezés dátuma

2011.07.25.

Súlyosság

Közepes

Érintett rendszerek

Internet2
Shibboleth

Érintett verziók

Shibboleth 2.x

Összefoglaló

A Shibboleth Identity Provider és Service Provider olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági vizsgálatokat.

Leírás

A sérülékenységet a sérülékeny OpenSAML kód használata okozza. Az OpenSAML XML könyvtár nem megfelelően ellenőriz bizonyos aláírt XML üzeneteket, ezt kihasználva megkerülhető az ellenőrzés “burkolt támadásokkal” (wrapping attack).

A sérülékenységet az OpenSAML C könyvtár 2.4.3 és Java könyvtár 2.5.1 verziójánál korábbiakban jelentették.

Megoldás

Frissítsen a legújabb verzióra