Shibboleth Security Advisory – SP: Denial of Service wegen DataSealer
- Startseite
- chevron_right
- Allgemein
- chevron_right
- Shibboleth Security Advisory – SP: Denial of Service wegen DataSealer
Sehr geehrte Damen und Herren,
am 26.04.2021 wurde ein Security Advisory zum Produkt Shibboleth Service Provider (SP) veröffentlicht [1].
Durch die dort beschriebene Sicherheitslücke ist es möglich, dass Angreifer*innen durch Manipulation von bestimmten Cookies den SP zum Absturz bringen können (Denial of Service). Der Fehler wird mittelkritisch eingeschätzt. Es sind alle Betriebssysteme betroffen. Wir empfehlen unseren Kunden, baldmöglichst auf die Version 3.2.2 des SP, welche den Patch enthält, zu aktualisieren. Die neue Version steht für RPM-basierte Linux-Distributionen und Windows zur Verfügung. Für Ubuntu 20 und Debian 10 (evtl. auch Ubuntu 18 und Debian 9) werden die Paketquellen bei SWITCH erfahrungsgemäß ebenfalls bald verfügbar sein.
Die Patches stehen am üblichen Ort zum Download bereit [2], bzw. können über den Paket-Manager Ihres Betriebssystems eingespielt werden. Wenn Sie den Betrieb Ihrer SP-Infrastruktur bei DAASI International beauftragt haben, werden wir das Update im Rahmen Ihres Supportvertrages zeitnah für Sie durchführen. Alternativ ist die Durchführung des Updates auch über Ihr Helpdesk-Kontingent möglich.
Falls ein Update nicht zeitnah möglich sein sollte, besteht die Option, als Workaround einen nicht verwendeten Dummy-DataSealer zu konfigurieren (siehe [3] und das Beispiel im Security-Advisory [1]). Falls Ubuntu oder Debian eingesetzt wird, empfehlen wir die Konfiguration dieses Workarounds, zumindest bis über SWITCH aktualisierte Pakete bereitstehen.
Mit freundlichen Grüßen
Ihr Support-Team der DAASI International
[1]: https://shibboleth.net/community/advisories/secadv_20210426.txt[2]: https://shibboleth.net/downloads/service-provider/latest/
[3]: https://wiki.shibboleth.net/confluence/display/SP3/DataSealer
Anleitung für das Update
Abonnieren Sie unseren Newsletter
Neueste Beiträge
- Here to spread the word: Die DAASI International auf der it-sa 2024
- Federation Services – das neue Modul in didmos
- Neue Partnerschaft: DAASI International und Remelda Technologies für sichere und innovative Softwarelösungen
- Karriere im Fokus: DAASI International auf dem Tigers Career Day 2024
- AARC revolutioniert Authentifizierung und Autorisierung in der Forschung