[HREF-tech] SimpleSAMLphp hibák
Kristof Bajnok
bajnokk at niif.hu
2017. Május. 15., H, 14:05:12 CEST
Kedves kollégák,
szeretném felhívni a figyelmeteket arra, hogy a SimpleSAMLphp-ban az
1.14.13-as verzió egy nagyon súlyos hibát hozott azok számára, akik 5.6
-os PHP verziónál régebbi PHP-vel futtatják. Gyk. elegendő egy
felhasználó jelszavának hosszát eltalálni ahhoz, hogy autentikálni
lehessen a nevében. Ez azokat érinti, akik SimpleSAMLphp IdP-t futtatnak
régi rendszereken (pl. Debian Wheezy, RHEL 7, stb).
Böngészve a biztonsági figyelmeztetéseket
(https://simplesamlphp.org/security) van még egy elég komoly
SimpleSAMLphp hiba, ami elsősorban az SP-ket érinti:
https://simplesamlphp.org/security/201612-01 . Ezt kihasználva az SP
bármilyen SAML assertion-t elfogad hitelesnek.
Kérem, tartsátok a SimpleSAMLphp entitásaitokat (is) frissen!
Üdv,
Kristóf
További információk a(z) HREF-tech levelezőlistáról