[HREF-tech] Shibboleth SP sérülékenység

[Kristof Bajnok]

Kedves kollégák,

egy, a napokban megjelent kritikus Shibboleth SP biztonsági
figyelmeztetésre szeretném felhívni a figyelmeteket, ami titeket is
érint, ha a dinamikus metadata kiszolgálást (https://wiki.niif.hu/MDX)
használjátok.

Sajnos egy hiba miatt az SP az MDX metadata válaszok aláírását nem
ellenőrizte, hiába volt megadva a konfigurációban. A hibát súlyosbítja,
hogy az általánosan javasolt beállítás szerint az MDX lekérdezések
titkosítatlanul mennek, így a sérülékenység kihasználása meglehetősen
egyszerű.

A sérülékenység kihasználásával a támadó bármilyen felhasználó nevében
azonosíthatja magát, így hozzáférhet a védett erőforrásokhoz.

A Debian nemrég frissítette a csomagokat, kérem, amint lehet,
telepítsétek a javított változatot!

Kristóf