[HREF-tech] Shibboleth frissítések
Kristof Bajnok
bajnokk at niif.hu
2011. Aug. 3., Sze, 09:15:31 CEST
On 2011. August 2. 15:54:59 Kristof Bajnok wrote:
> A hiba:
> - csekély módon érint az IdP-t, mivel az IdP általában nem XML aláírás
> alapján autentikálja az SP-ket.
> - súlyosan érinti a Shibboleth SP-t, mivel így a támadó védett
> tartalomhoz férhet hozzá.
>
> A fejlesztők által kiadott kiadások (Redhat, SUSE, Windows) már a múlt
> héten frissültek, a hivatalos Debian kiadások szintén. Legtovább az
> általunk javasolt Debian backports tároló váratott magára, de már ott is
> friss a "libsaml6" csomag. Nagyon fontos, hogy mindenki frissítsen!
Egy kis frissítés a frissítéshez.
0) Elfelejtettem linkelni az eredeti security advisory-t:
http://shibboleth.internet2.edu/secadv/secadv_20110725.txt
1) A Shibboleth IdP 2.3.2-es verziója javítja a biztonsági hibát.
2) A Shibboleth IdP 2.3.3-as verziója javít egy olyan bugot, amely miatt
ugyanazt az attribútumot nem lehetett két különböző scope-pal kiadni. Sajnos a
bug javítása nem sikerült túl jól...
3) A Shibboleth IdP 2.3.3-as verziója viszont a fenti "bugfix" miatt az
eduPersonTargetedId attribútumot duplikált értékekkel adja ki (ha az általunk
javasolt módon a Resource Registry-ről töltitek le az attribute filtert), amit
sehol sem egyesítenek, így az SP-nél futó alkalmazások emiatt új
felhasználóként fogják a usert fogadni.
Nem tudom, hányan használnak Shibboleth IdP-t, de javaslom, hogy a 2.3.3-as
verzióra NE upgrade-eljenek egyelőre. Remélhetőleg nemsokára lesz javítás a
hibára.
Kristóf
További információk a(z) HREF-tech levelezőlistáról