[HREF-tech] FONTOS, simpleSAMLphp sebezhetőség, SP oldali érintettség
Frank Tamás
frank.tamas at wigner.mta.hu
2018. Már. 6., K, 19:32:37 CET
Kedves Kollégák,
tegnap jött ki egy biztonsági felhívás a simpleSAMLphp fejlesztők részéről, elég komoly sebezhetőséget találtak az XML aláírást ellenőrző alrendszerben, melynek nyomán nyomán egy támadó tulajdonképpen meg tud személyesíteni egy IdP-t, nagyjából tetszőleges SAML válaszról el tudja hitetni az SP-vel, hogy az valós, szóval elég súlyos a sebezhetőség.
Részletek erre: https://simplesamlphp.org/security/201802-01
Aki simpleSAMLphp SP-t üzemeltet, mindenképp frissítsen! Aki újabb SSP-t használ, annak elegendő lehet egy `composer update` (ellenőrizve előtte a composer.json-t, hogy a simplesamlphp/saml2 csomag számára legalább az 1.10.4 legyen az elvárt) aki még composer előtti időkből telepítette az SP-jét, ő nem ússza meg a teljes kézi frissítést.
üdv,
--
Frank Tamás (sitya)
frank.tamas at wigner.mta.hu
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <https://listserv.niif.hu/pipermail/href-tech/attachments/20180306/4fd404e4/attachment.sig>
További információk a(z) HREF-tech levelezőlistáról