[HREF-tech] OpenSSL sebezhetőség

[Kristof Bajnok]

Szia Zsuzsa!

On 2014-04-10 09:51, Váradi Zsuzsanna wrote:
> Nekunk szerencsere az azonositast vegzo szervereink nem erintettek,
> viszont 1-2 SP-nket igen.
> 
> Tudom, hulye kerdes, de inkabb megkerdezem..
> 
> Az SP-ken a frissitesen kivul csereljuk le a tanusitvanyokat is?
> Pontosabban, ebben az esetben ugye eleg csak az SP-ken lecserelni a
> tanusitvanyokat?

A válasz attól függ, milyen SP-t, hogyan használtok.

>>
>> 2. Shibboleth SP
>> ----------------
>>
>> A Windows platformon futó Shibboleth SP sérülékeny OpenSSL-t használ,
>> ezt rövid időn belül frissíteni kell.
>>
>> Egyéb platformokon elsősorban a webszerver tanúsítványa
>> kompromittálódhatott. Fennáll az esélye annak, hogy a föderációs
>> kulccsal is visszaélhettek, de ehhez előtte egy föderációs IdP
>> végpontját is meg kellett tudniuk személyesíteni. Ez a fentiek alapján
>> korántsem lehetetlen (hiszen a privát kulcs ellopható volt!), ezért
>> indokolt lehet az SP-k föderációs kulcsainak cseréje is.
>>
[...]
>>
>> 4. SimpleSAMLphp SP
>> -------------------
>>
>> Amennyiben a PHP a webszerveren belül fut (mod_php), akkor
>> kompromittálódott:
>>   - föderációs kulcs
>>   - külső (nyilvános) tanúsítvány és a hozzá tartozó titkos kulcs
>>
>> Ha a PHP CGI módban fut (fastcgi, stb), akkor a PHP alkalmazás nem, csak
>> a webszerver.

Az SP-k esetén én csak abban az esetben ragaszkodom a *föderációs kulcs*
cseréjéhez (bár ellenőrizni persze nem tudom), ha az
 - Shibboleth SP Windowson,
 - SimpleSAMLphp SP mod_php-vel.

Az érintett gépeken a felhasználók felé néző tanúsítványt és kulcsot is
cserélni kell (a tanúsítvány vissza kell vonni), de ez a föderáció
szempontjából out-of-scope.

Kristóf

Ui.: légyszi a href-tech-et tartsátok meg, ha válaszoltok, mert mások
számára is érdekes lehet a levelezés.