2025-0672: OpenSAML-C++, OpenSAML-Java, Shibboleth Identity Provider (IdP), Shibboleth Service Provider (SP): Eine Schwachstelle ermöglicht das Darstellen falscher Informationen

Historie:

Version 1 (2025-03-14 12:44)

Neues Advisory

Version 2 (2025-03-17 11:16)

Der OpenSAML-C++-/Shibboleth Service Provider-Sicherheitshinweis wurde aktualisiert, da sich herausgestellt hat, dass der ursprünglich angegebene Workaround ineffektiv war und durch einen neuen ersetzt wurde (siehe Workaround).

Version 3 (2025-03-24 13:11)

Zur Verdeutlichung der Kritikalität möchten wir nochmal stärker darauf hinweisen, dass durch die Schwachstelle der Shibboleth Service Provider und damit der Zugang zu Ressourcen möglicherweise durch nicht autorisierte Zugriffe bedroht ist.

Version 4 (2025-03-27 16:45)

Canonical stellt für Ubuntu 25.04, Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für 'opensaml' bzw. 'opensaml2' bereit, um die Schwachstelle zu adressieren.

Version 5 (2025-03-28 09:38)

Der Hersteller informiert darüber, dass die Schwachstelle auch in der OpenSAML Java Bibliothek besteht und sich damit auf den Shibboleth Identity Provider auswirkt, falls in der Profilkonfiguration die Option "skipEndpointValidationWhenSigned" verwendet wird. Dadurch kann ein Identity Provider dahingehend manipuliert werden kann, dass er Antworten an jede URL in einer Anfrage sendet, vorausgesetzt die Anfrage ist signiert. Daraus ergibt sich ein mögliches Informationsleck, ein Login kann aber nicht erzwungen werden. Ein Angreifer kann somit aus der Ferne lediglich bestimmte Informationen ausspähen. Für die OpenSAML Java Bibliothek steht eine aktualisierte Version bereit, um die entsprechende Schwachstelle zu beheben. Der darauf aufsetzende Shibboleth Identity Provider steht in der Version 5.1.4 mit fehlerbereinigter Bibliothek als Sicherheitsupdate bereit. Bis das Update installiert werden kann, ist die empfohlene Mitigation die Verwendung der Profiloption "skipEndpointValidationWhenSigned" in Verbindung mit einem Service Provider (SP) ohne Verschlüsselungsschlüssel, oder falls dieser moderne AES-GCM Datenverschlüsselungsalgorithmen nicht unterstützt, zu vermeiden.

Betroffene Software

Middleware
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Für die Bibliothek OpenSAML-C++ steht die Version 3.3.1 bereit, um die Schwachstelle zu beheben. Der darauf aufsetzende Shibboleth Service Provider steht in der Version 3.5.0.1 für Windows als installierbares Paket mit fehlerbereinigter Bibliothek bereit.

Schwachstellen:

OPENSAML-C++-3-3-1-A

Schwachstelle in OpenSAML-C++ und OpenSAML Java ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.