2025-0672: OpenSAML-C++, OpenSAML-Java, Shibboleth Identity Provider (IdP), Shibboleth Service Provider (SP): Eine Schwachstelle ermöglicht das Darstellen falscher Informationen

Historie:

Version 1 (2025-03-14 12:44)

Neues Advisory

Version 2 (2025-03-17 11:16)

Der OpenSAML-C++-/Shibboleth Service Provider-Sicherheitshinweis wurde aktualisiert, da sich herausgestellt hat, dass der ursprünglich angegebene Workaround ineffektiv war und durch einen neuen ersetzt wurde (siehe Workaround).

Version 3 (2025-03-24 13:11)

Zur Verdeutlichung der Kritikalität möchten wir nochmal stärker darauf hinweisen, dass durch die Schwachstelle der Shibboleth Service Provider und damit der Zugang zu Ressourcen möglicherweise durch nicht autorisierte Zugriffe bedroht ist.

Version 4 (2025-03-27 16:45)

Canonical stellt für Ubuntu 25.04, Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für 'opensaml' bzw. 'opensaml2' bereit, um die Schwachstelle zu adressieren.

Version 5 (2025-03-28 09:38)

Der Hersteller informiert darüber, dass die Schwachstelle auch in der OpenSAML Java Bibliothek besteht und sich damit auf den Shibboleth Identity Provider auswirkt, falls in der Profilkonfiguration die Option "skipEndpointValidationWhenSigned" verwendet wird. Dadurch kann ein Identity Provider dahingehend manipuliert werden kann, dass er Antworten an jede URL in einer Anfrage sendet, vorausgesetzt die Anfrage ist signiert. Daraus ergibt sich ein mögliches Informationsleck, ein Login kann aber nicht erzwungen werden. Ein Angreifer kann somit aus der Ferne lediglich bestimmte Informationen ausspähen. Für die OpenSAML Java Bibliothek steht eine aktualisierte Version bereit, um die entsprechende Schwachstelle zu beheben. Der darauf aufsetzende Shibboleth Identity Provider steht in der Version 5.1.4 mit fehlerbereinigter Bibliothek als Sicherheitsupdate bereit. Bis das Update installiert werden kann, ist die empfohlene Mitigation die Verwendung der Profiloption "skipEndpointValidationWhenSigned" in Verbindung mit einem Service Provider (SP) ohne Verschlüsselungsschlüssel, oder falls dieser moderne AES-GCM Datenverschlüsselungsalgorithmen nicht unterstützt, zu vermeiden.

Version 6 (2025-05-07 17:12)

Für openSUSE Leap 15.3 und 15.6, Server Applications Module 15 SP6, SUSE Linux Enterprise Real Time 15 SP6, SUSE Linux Enterprise Server 12 SP5, 12 SP5 LTSS Extended Security und 15 SP6 sowie SUSE Linux Enterprise Server for SAP Applications 12 SP5 und 15 SP6 stehen Sicherheitsupdates für 'opensaml' bereit, um die Schwachstelle zu beheben.

Version 7 (2025-06-06 08:56)

Für Server Applications Module 15 SP7 sowie für die SUSE Linux Enterprise Produkte Real Time 15 SP7, Server 15 SP7 und Server for SAP Applications 15 SP7 stehen Sicherheitsupdates für 'opensaml' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Middleware
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.

Für die Bibliothek OpenSAML-C++ steht die Version 3.3.1 bereit, um die Schwachstelle zu beheben. Der darauf aufsetzende Shibboleth Service Provider steht in der Version 3.5.0.1 für Windows als installierbares Paket mit fehlerbereinigter Bibliothek bereit.

Schwachstellen:

CVE-2025-31335

Schwachstelle in OpenSAML-C++ und OpenSAML Java ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.