Sehr geehrte Damen und Herren,

am 26.04.2021 wurde ein Security Advisory zum Produkt Shibboleth Service Provider (SP) veröffentlicht [1].

Durch die dort beschriebene Sicherheitslücke ist es möglich, dass Angreifer*innen durch Manipulation von bestimmten Cookies den SP zum Absturz bringen können (Denial of Service). Der Fehler wird mittelkritisch eingeschätzt. Es sind alle Betriebssysteme betroffen. Wir empfehlen unseren Kunden, baldmöglichst auf die Version 3.2.2 des SP, welche den Patch enthält, zu aktualisieren. Die neue Version steht für RPM-basierte Linux-Distributionen und Windows zur Verfügung. Für Ubuntu 20 und Debian 10 (evtl. auch Ubuntu 18 und Debian 9) werden die Paketquellen bei SWITCH erfahrungsgemäß ebenfalls bald verfügbar sein.

Die Patches stehen am üblichen Ort zum Download bereit [2], bzw. können über den Paket-Manager Ihres Betriebssystems eingespielt werden. Wenn Sie den Betrieb Ihrer SP-Infrastruktur bei DAASI International beauftragt haben, werden wir das Update im Rahmen Ihres Supportvertrages zeitnah für Sie durchführen. Alternativ ist die Durchführung des Updates auch über Ihr Helpdesk-Kontingent möglich.

Falls ein Update nicht zeitnah möglich sein sollte, besteht die Option, als Workaround einen nicht verwendeten Dummy-DataSealer zu konfigurieren (siehe [3] und das Beispiel im Security-Advisory [1]). Falls Ubuntu oder Debian eingesetzt wird, empfehlen wir die Konfiguration dieses Workarounds, zumindest bis über SWITCH aktualisierte Pakete bereitstehen.

Mit freundlichen Grüßen

Ihr Support-Team der DAASI International

[1]: https://shibboleth.net/community/advisories/secadv_20210426.txt
[2]: https://shibboleth.net/downloads/service-provider/latest/
[3]: https://wiki.shibboleth.net/confluence/display/SP3/DataSealer

 

Anleitung für das Update

Vorschau Update-Anleitung

Menü