DFN-CERT

Advisory-Archiv

2018-0396: SAML-Produkte: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-02-28 15:12)
Neues Advisory
Version 2 (2018-03-06 16:34)
IBM bestätigt die Schwachstelle CVE-2018-1443 für Security Access Manager Appliances in den Versionen 9.0.0 - 9.0.4. Kunden werden angewiesen unter Referenzierung auf APAR IJ00123 ein Ticket mit dem Level 2 Support zu öffnen, um einen Patch zu erhalten.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
IBM
Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in den Produkten OneLogins SAML Python Toolkit, OneLogins Ruby SAML, SAML2-js, OmniAuth SAML, Shibboleth OpenSAML und Duo Network Gateway ermöglicht das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen. Für die unterschiedlichen Produkte wurden verschiedene Schwachstellenidentifier (CVEs) erstellt, die sich allerdings auf das gleiche Problem zurückführen lassen.

Die Hersteller haben die Schwachstelle behoben und stellen Sicherheitsupdates bereit: Die OneLogins SAML Python Toolkit Version 2.4.0 behebt die Schwachstelle CVE-2017-11427. Mittels der OneLogins Ruby SAML Version 1.7.0 wird die Schwachstelle CVE-2017-11428 adressiert. Und für das Duo Network Gateway wird über die Version 1.2.10 die Schwachstelle CVE-2018-7340 behoben. Um Shibboleth OpenSAML von der Schwachstelle CVE-2018-0489 zu befreien, muss Shibboleth XMLTooling-C in der Version 1.6.4 eingespielt werden. SAML2-js wurde im Quellcode bereits auf Version 2.0.2 angehoben, um die Schwachstelle CVE-2017-11429 zu fixen, allerdings existiert noch kein 'Tag', so dass die Software von der momentanen 'Master'-Version bezogen werden muss. Ebenfalls behoben wurde die Schwachstelle CVE-2017-11430 im Quellcode-Repository von OmniAuth SAML durch einen Patch vom 27.02.2018 (Commit 2d50dba) gegen die Version 1.9.0, allerdings fehlt auch hier noch die neue Release-Version.

Für die Debian Distributionen Jessie (old stable) und Stretch (stable) stehen Sicherheitsupdates für 'xmltooling' bereit, um die Schwachstelle CVE-2018-0489 zu beheben.

Schwachstellen:

CVE-2017-11427 CVE-2017-11428 CVE-2017-11429 CVE-2017-11430 CVE-2018-0489 CVE-2018-1443 CVE-2018-7340

Schwachstelle in SAML-Produkten ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.