Am 12. Januar 2018 wurde ein Security Advisory zum Shibboleth Service Provider veröffentlicht. Dabei handelt es sich um ein Sicherheitsdefizit hinsichtlich der XMLTooling-C Library, in den der V1.6.2 vorausgegangenen Versionen. In den besagten Versionen ist es möglich, den Inhalt einer SAML-Nachricht zu verändern, ohne dabei die digitale Signatur ungültig zu machen. Als Folge nimmt der Service Provider die modifizierten Nachrichten ohne Weiteres an.

Da Identity Provider Antworten an den Service Provider für gewöhnlich per XML-Encryption verschlüsseln, sind diese gegen entsprechende Eingriffe grundsätzlich geschützt. Insofern ist dieses Leck als eher unkritisch zu bewerten. Allerdings weist das Security Advisory auch auf mögliche Angriffe trotz aktivierter Verschlüsselung hin, und es kann überdies nicht davon ausgegangen werden, dass diese bei jedem Identity Provider aktiviert ist.

DAASI International empfiehlt Ihnen deshalb, möglichst schnell auf die gepatchte Version 1.6.3 der XMLTooling Library umzusteigen, die dieses Defizit behebt:

  • Unter CentOS, RHEL und ähnlichen Systemen sollte ein “yum update libxmltooling7” ausreichen, da die Pakete aus dem eingebundenen Shibboleth Repository verfügbar sind.
  • Unter Ubuntu oder Debian gehen wir davon aus, dass im SWITCH Repository in den nächsten Tagen eine aktualisierte Version des Pakets verfügbar sein wird. Diese kann analog installiert werden.
  • Für Windows stehen unter shibboleth.net aktuelle Pakete zur Verfügung.

Abschließend sollten der shibd-Dienst, sowie Apache erneut gestartet werden.

Menü