Összefoglaló
A Shibboleth Service Providerben használt Shibboleth XMLTooling-C sérülékenysége vált ismertté, melyet kihasználva a távoli támadó érzékeny információkhoz juthat hozzá.
Leírás
A Shibboleth Service Providerben használt Shibboleth XMLTooling-C nem megfelelően kezeli az XML alapú digitális aláírást. Ennek kihasználásával egy távoli felhasználó speciálisan formázott XML beküldésével képes lehet más felhasználók érzékeny információihoz hozzáférni a célrendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A Shibboleth Konzorcium megerősítette a sérülékenységet és kiadta a szoftverfrissítéseket:
Támadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: shibboleth.net
Egyéb referencia: tools.cisco.com
CVE-2018-0489 - NVD CVE-2018-0489