2017-2074: OpenSAML: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-11-17 13:36)

Neues Advisory

Version 2 (2017-12-08 11:15)

Für SUSE Linux Enterprise Software Development Kit 12 SP2 und SP3 sowie für SUSE Linux Enterprise Server 12 SP2, SP3 und Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für 'opensaml' zur Verfügung, mit denen die Schwachstelle behoben wird.

Version 3 (2017-12-08 13:42)

Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates zur Behebung der Schwachstelle in OpenSAML zur Verfügung.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Aufgrund eines Programmierfehlers in der Bibliothek OpenSAML-C++ werden kritische Sicherheitsprüfungen für zu schützende Bereiche nicht durchgeführt, wenn auf die 'DynamicMetadataProvider'-Klasse zurückgegriffen wird. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um die beabsichtigten Sicherheitsvorkehrungen zu umgehen und unterschiedliche Angriffe durchzuführen. Zu den Angriffen kann auch die Ersetzung von Metadaten gehören, wodurch der zu schützende Bereich vollständig kompromittiert werden kann.

Der Hersteller veröffentlicht OpenSAML-C++ 2.6.1 zur Behebung der Schwachstelle.

Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-16853

Schwachstelle in OpenSAML ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.