Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till enheten för incidenthantering till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 31 januari.

Publicerad - Sårbarhet, Shibboleth

Sårbarheter i Shibboleth Identity Provider

Shibboleth-konsortiet har gått ut med information om en sårbarhet i äldre versioner av Shibboleth Identity Provider och OpenSAML-Java-bibliotek som kan möjliggöra överbelastningsattacker och att fjärrköra godtycklig kod. [1]

Sårbarheten utnyttjar brister i kraven på validering av krypterad XML. Äldre versioner av Java-biblioteket OpenSAML gör inte tillräcklig validering av det krypterade XML-innehållet vilket gör det möjligt för angripare att genomföra skadliga XSLT- och XPath-transformeringar.

Påverkade produkter

Shibboleth Identity Provider v. 4.2.x eller äldre

Rekommendationer

Se över vilka versioner av Java och Shibboleth Identity Provider som används i er it-miljö. Säkerställ att både Java och Shibboleth Identity Provider är uppdaterat. Shibboleth-konsortiet rekommenderar mildrande åtgärder i de fall där uppdatering inte är möjlig på kort sikt. [1]

[1] https://shibboleth.net/community/advisories/secadv_20221216.txt