2017-2071: Shibboleth: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2017-11-17 13:30)
- Neues Advisory
- Version 2 (2017-12-06 10:53)
- SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und SP3, Server for Raspberry Pi 12 SP2 sowie Server 12 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstelle bereit.
- Version 3 (2017-12-07 12:30)
- Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen nun ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Betroffene Software
Sicherheit
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Aufgrund eines Programmierfehlers im dynamischen 'MetadataProvider'-Plugin von Shibboleth werden kritische Sicherheitsprüfungen für zu schützende Bereiche nicht durchgeführt. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um die beabsichtigten Sicherheitsvorkehrungen zu umgehen und unterschiedliche Angriffe durchzuführen. Zu den Angriffen kann auch die Ersetzung von Metadaten gehören, wodurch der zu schützende Bereich vollständig kompromittiert werden kann.
Die kritische Schwachstelle wird vom Hersteller in Shibboleth Version 2.6.1 behoben. Das dynamische Laden von Metadaten über das Plugin ist allerdings nicht die standardmäßige Herangehensweise. Im zugehörigen Sicherheitshinweis findet sich ein Hinweis auf eine identische Schwachstelle in der OpenSAML-Bibliothek (siehe gesondertes Advisory).
Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates zur Verfügung.
Schwachstellen:
CVE-2017-16852
Schwachstelle in Shibboleth ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.