![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
Sårbarheter i Shibboleth Identity Provider
Shibboleth-konsortiet har gått ut med information om en sårbarhet i äldre versioner av Shibboleth Identity Provider och OpenSAML-Java-bibliotek som kan möjliggöra överbelastningsattacker och att fjärrköra godtycklig kod. [1]
Sårbarheten utnyttjar brister i kraven på validering av krypterad XML. Äldre versioner av Java-biblioteket OpenSAML gör inte tillräcklig validering av det krypterade XML-innehållet vilket gör det möjligt för angripare att genomföra skadliga XSLT- och XPath-transformeringar.
Påverkade produkter
Shibboleth Identity Provider v. 4.2.x eller äldre
Rekommendationer
Se över vilka versioner av Java och Shibboleth Identity Provider som används i er it-miljö. Säkerställ att både Java och Shibboleth Identity Provider är uppdaterat. Shibboleth-konsortiet rekommenderar mildrande åtgärder i de fall där uppdatering inte är möjlig på kort sikt. [1]
[1] https://shibboleth.net/community/advisories/secadv_20221216.txt