Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Ett blixtmeddelande har felaktigen gått ut från CERT-SE

För mer information, se: https://www.cert.se/2023/09/uppdatering-gallande-felaktiga-utskick

Publicerad - Sårbarhet, Shibboleth

Sårbarheter i Shibboleth Identity Provider

Shibboleth-konsortiet har gått ut med information om en sårbarhet i äldre versioner av Shibboleth Identity Provider och OpenSAML-Java-bibliotek som kan möjliggöra överbelastningsattacker och att fjärrköra godtycklig kod. [1]

Sårbarheten utnyttjar brister i kraven på validering av krypterad XML. Äldre versioner av Java-biblioteket OpenSAML gör inte tillräcklig validering av det krypterade XML-innehållet vilket gör det möjligt för angripare att genomföra skadliga XSLT- och XPath-transformeringar.

Påverkade produkter

Shibboleth Identity Provider v. 4.2.x eller äldre

Rekommendationer

Se över vilka versioner av Java och Shibboleth Identity Provider som används i er it-miljö. Säkerställ att både Java och Shibboleth Identity Provider är uppdaterat. Shibboleth-konsortiet rekommenderar mildrande åtgärder i de fall där uppdatering inte är möjlig på kort sikt. [1]

[1] https://shibboleth.net/community/advisories/secadv_20221216.txt