[Fedora] Schwachstelle in OpenSAML vor Version 2.4.3 – FEDORA-2011-12890

[Fedora] Schwachstelle in OpenSAML vor Version 2.4.3 - FEDORA-2011-12890

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-1411 – Schwachstelle in OpenSAML

Die OpenSAML Bibliotheken vor Version 2.4.3 sind verwundbar bezueglich
sogenannter “XML Signature Wrapping Attacks”, d.h. bei signierten
Elementen wird nur ueberprueft, ob die Namen von Referenzen korrekt
sind, jedoch nicht deren Position. Ein entfernter, nicht
authentifizierten Angreifer kann praeparierte XML-Nachrichten mit
beliebigen Inhalt erzeugen, welche vom System als korrekt signiert
angesehen werden.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket opensaml

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-12890
2011-09-18 00:24:55
– ——————————————————————————–

Name : opensaml
Product : Fedora 15
Version : 2.3
Release : 4.fc15
URL : http://www.opensaml.org/
Summary : Security Assertion Markup Language
Description :
OpenSAML is an open source implementation of the OASIS Security Assertion
Markup Language Specification. It contains a set of open source C++ classes
that support the SAML 1.0, 1.1, and 2.0 specifications.

– ——————————————————————————–
Update Information:

Backport of 2.4.3 patch which fixes CVE-2011-1411.
– ——————————————————————————–
ChangeLog:

* Wed Sep 14 2011 Guido Grazioli – 2.3-4
– – Backported security patch for CVE-2011-1411 from 2.4.3
– – Update Source URL to new location
– ——————————————————————————–
References:

[ 1 ] Bug #725526 – CVE-2011-1411 opensaml: vulnerable to XML signature wrapping attacks
https://bugzilla.redhat.com/show_bug.cgi?id=725526
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update opensaml’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOgXM7AAoJEJtyb8U7iGZBHPQH/RabhAfQ3fYKT0PLU+83fUlH
TQaq/Y3Oa1tY7X86+VAb7qAnw8hoZbk+TE6WCkPN+k5Q2iXyBiHcTL6ly1rRUWXw
nPTtD36i0coXxl6nD3Nc2mT5tCb5m7GF2SrJNwP8soqOiABItyc2XtnCFKPwswWX
0ol3oQ1NHvFPvosbJ0sdTukOdmv9FZQsSnOQurHjA96HFU3nR3wCKN3/k29OaSKN
Xl4xOGeUB8j8Kn93HCuuesPr7wgUk9WwX43hB5ItZVRVzMfcuk72RaJ2ErUOG0i/
Vq5j3+MGYpEgJc5w+miJ7Lu6LmgqCP35Fe6Wz1rdw0BWebj9FF/XZX2yWrY1rvc=
=ET7u
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben