DFN-CERT-2017-2074 OpenSAML: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Apple][Windows]

DFN-CERT-2017-2074 OpenSAML: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSAML-C++ < 2.6.1 Betroffene Plattformen: Apple macOS Debian Linux 8.9 Jessie Debian Linux 9.2 Stretch GNU/Linux Microsoft Windows Aufgrund eines Programmierfehlers in der Bibliothek OpenSAML-C++ werden kritische Sicherheitsprüfungen für zu schützende Bereiche nicht durchgeführt, wenn auf die 'DynamicMetadataProvider'-Klasse zurückgegriffen wird. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um die beabsichtigten Sicherheitsvorkehrungen zu umgehen und unterschiedliche Angriffe durchzuführen. Zu den Angriffen kann auch die Ersetzung von Metadaten gehören, wodurch der zu schützende Bereich vollständig kompromittiert werden kann. Der Hersteller veröffentlicht OpenSAML-C++ 2.6.1 zur Behebung der Schwachstelle. Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates bereit. Patch: Debian Security Advisory DSA-4039-1 https://www.debian.org/security/2017/dsa-4039

Patch:

Shibboleth Service Provider Security Advisory [15 November 2017]

https://shibboleth.net/community/advisories/secadv_20171115.txt

CVE-2017-16853: Schwachstelle in OpenSAML ermöglicht Umgehen von
Sicherheitsvorkehrungen

In der ‘DynamicMetadataProvider’-Klasse der Bibliothek OpenSAML-C++ besteht
ein der Schwachstelle CVE-2017-16852 gleichendes Sicherheitsproblem.
Aufgrund eines Programmierfehlers in
‘saml/saml2/metadata/impl/DynamicMetadataProvider.cpp’ werden auch hier
sicherheitsrelevante Prüfungen nicht durchgeführt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2074/

Debian Security Advisory DSA-4039-1:
https://www.debian.org/security/2017/dsa-4039

Shibboleth Service Provider Security Advisory [15 November 2017]:
https://shibboleth.net/community/advisories/secadv_20171115.txt

Schwachstelle CVE-2017-16853 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16853

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben