2018-0084: XMLTooling, Shibboleth Service Provider (SP): Eine Schwachstelle ermöglicht u.a. die Übernahme einer Identität

Historie:

Version 1 (2018-01-15 13:04)

Neues Advisory

Version 2 (2018-01-22 11:04)

Für die Distributionen openSUSE Leap 42.2 und 42.3 sowie die Produkte SUSE Linux Enterprise Software Development Kit 12 SP2 und SP3, Server for Raspberry Pi 12 SP2 und Server 12 SP2 und SP3 stehen Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle in der XMLTooling-Bibliothek ausnutzen, um mit Hilfe einer manipulierten Document Type Definition (DTDs), eine andere Identität zu übernehmen (Impersonation Attack) oder sensitive Informationen auszuspähen.

Zur Behebung der Schwachstelle steht die Version 1.6.3 (oder spätere) der XMLTooling-Bibliothek zur Verfügung. Der Hersteller gibt an, dass aktuelle Windows Installationen des Shibboleth Service Providers (SP) der Version 2.6.0 und später nicht verwundbar sind, die Installation eines aktualisierten Paketes (2.6.1.3) also mit geringer Priorität verfolgt werden kann.

Debian stellt für die Distribution Jessie (oldstable) 8.10 ein Sicherheitsupdate für 'xmltooling' zur Behebung der Schwachstelle bereit. Die Distribution Stretch (stable) 9.3 ist nach Herstellerangaben von der Schwachstelle nicht betroffen.

Schwachstellen:

CVE-2018-0486

Schwachstelle in XMLTooling ermöglicht u.a. Übernahme einer Identität

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.