Sårbarheter i Shibboleth Identity Provider

Shibboleth-konsortiet har gått ut med information om en sårbarhet i äldre versioner av Shibboleth Identity Provider och OpenSAML-Java-bibliotek som kan möjliggöra överbelastningsattacker och att fjärrköra godtycklig kod.[1]

Sårbarheten utnyttjar brister i kraven på validering av krypterad XML. Äldre versioner av Java-biblioteket OpenSAML gör inte tillräcklig validering av det krypterade XML-innehållet vilket gör det möjligt för angripare att genomföra skadliga XSLT- och XPath-transformeringar.

Påverkade produkter

Shibboleth Identity Provider v. 4.2.x eller äldre

Rekommendationer

Se över vilka versioner av Java och Shibboleth Identity Provider som används i er it-miljö. Säkerställ att både Java och Shibboleth Identity Provider är uppdaterat. Shibboleth-konsortiet rekommenderar mildrande åtgärder i de fall där uppdatering inte är möjlig på kort sikt. [1]

Källor

[1] https://shibboleth.net/community/advisories/secadv_20221216.txt