2024-0748: Shibboleth Identity Provider (IdP): Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2024-03-20 17:13)
- Neues Advisory
- Version 2 (2024-04-16 16:09)
- Der Hersteller hat eine weitere Variante derselben Schwachstelle mit anderen Eingaben publiziert. Zur Behebung der Schwachstelle wurden als Sicherheitsupdates die Shibboleth Identity Provider Versionen 5.1.2 und 4.3.3 veröffentlicht.
Betroffene Software
Sicherheit
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann eine Schwachstelle im Spring Framework aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebige Umleitungen auszulösen (Open Redirect Attack) und Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.
Zur Behebung der Schwachstelle wurde das Shibboleth Identity Provider Sicherheitsupdate 5.1.1 veröffentlicht und die baldige Veröffentlichung des Updates 4.3.2 angekündigt.
Schwachstellen:
CVE-2024-22259
Schwachstelle in Spring Framework ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-22262
Schwachstelle in Spring Framework ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.