2017-2071: Shibboleth: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-11-17 13:30)

Neues Advisory

Version 2 (2017-12-06 10:53)

SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und SP3, Server for Raspberry Pi 12 SP2 sowie Server 12 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Version 3 (2017-12-07 12:30)

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen nun ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Betroffene Software

Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Aufgrund eines Programmierfehlers im dynamischen 'MetadataProvider'-Plugin von Shibboleth werden kritische Sicherheitsprüfungen für zu schützende Bereiche nicht durchgeführt. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um die beabsichtigten Sicherheitsvorkehrungen zu umgehen und unterschiedliche Angriffe durchzuführen. Zu den Angriffen kann auch die Ersetzung von Metadaten gehören, wodurch der zu schützende Bereich vollständig kompromittiert werden kann.

Die kritische Schwachstelle wird vom Hersteller in Shibboleth Version 2.6.1 behoben. Das dynamische Laden von Metadaten über das Plugin ist allerdings nicht die standardmäßige Herangehensweise. Im zugehörigen Sicherheitshinweis findet sich ein Hinweis auf eine identische Schwachstelle in der OpenSAML-Bibliothek (siehe gesondertes Advisory).

Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2017-16852

Schwachstelle in Shibboleth ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.