Blog from March, 2025

Sårbarhet i SAML
Björn Mattsson posted on Mar 14, 2025

Det har upptäckts ett säkerhetshål som har med HTTP-POST-SimpleSign I SAML att göra, det går att återanvända en gammal inloggning då allt inte är signerat via SimpleSign.

Shibboleth

https://shibboleth.net/community/advisories/secadv_20250313.txt

Felet ligger i OpenSAML biblioteket som bland annat används av Shibboleth-SP:n.

Shibboleth-konsortiet har släppt en uppdaterad version av OpenSAML (3.3.1) som de rekommenderar alla att uppdatera till

OpenSAML 3.3.x används av Shibboleth-SP 3.5. Så det räcker att uppdatera biblioteket, ingen uppdatering av SP:n i övrigt.

Problemet är att sårbarheten läckt ut I förtid varför väldigt får Linux distributioner hunnit plocka upp den.

Om ni kör äldre version av Shibboleth Service Provider än 3.5 behöver ni uppdatera till senast version som kan hantera uppdaterad OpenSAML.

Behöver jag uppdatera ?

Titta i Shibboleth loggen. Hittar du "OpenSAML.Config : opensaml 3.3.1 library initialization complete" har du senaste versionen. I annat fall behöver du uppdatera !

För Debian 12 gäller att uppdatera libsaml12 till 3.2.1-3+deb12u1 dock står det fortfarande "INFO OpenSAML.Config : opensaml 3.2.1 library initialization complete" i loggen disappointed face Men dpkg -l ger sanningen ihop med tidpunkten för log raden.

Hur åtgärda ?

Windows

Shibboleth-konsortiet har släppt ett uppdaterat packet för Windows med en ny DLL för OpenSAML.

Ladda ner från https://shibboleth.net/downloads/service-provider/3.5.0/win64/ installera och starta om.

Linux

För linux räcker det att bygga den nya OpenSAML (https://shibboleth.net/downloads/c++-opensaml/3.3.1/) och starta om shibboleth:en om man kör 3.5. En varning dock är att många distributioner ligger kvar på Sibboleth-SP 3.4!

RPM baserad linux

Shibboleth-konsortiet har byggt nya RPM:er mer info på https://shibboleth.net/downloads/service-provider/3.5.0/RPMS/

Debian / Ubuntu mfl

2025-03-16

Debian har nu släppt libsaml12 3.2.1-3+deb12u1 som skall åtgärda buggen. 

https://security-tracker.debian.org/tracker/source-package/opensaml

Debian 12 kör fortfarande Shibboleth SP 3.4 men om ni uppdaterar libsaml12 till 3.2.1-3+deb12u1 och starat om shibboleth processen så skall säkehetehålet var  fixat. Dock rapporteras fortfarande versionen som 3.2.1 i loggarna från Shibb .

Debian Testing/SID har SP 3.5 och OpenSAML 3.3.0. Men finns nu libsaml13 3.3.1-1 som har patchen i sig.

Ubuntu kör också Shibboleth SP 3.4 och OpenSAML 3.2 sedan 2025-03-26 så finns det uppdaterade packet att ladda ner slightly smiling face  3.2.1-1ubuntu0.1  eller 3.2.1-4.1ubuntu0.24.04.1

Om ni inte kan uppdatera ?

2025-03-17

Tidigare skrev Shibboleth-konsortiet att det gick att mitigrera genom att plocka bort 

<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"  path="/SAML2/POST-SimpleSign" />

Detta ändrades senare till att INTE hjälpa.


Contrary to the initial publication of this advisory, there is no
workaround within the SP configuration other than to remove the
"SimpleSigning" security policy rule from the security-policy.xml
file entirely.

That will also prevent support of legitimate signed requests or
responses via the HTTP-Redirect binding, which is generally used
only for logout messages within the SP itself. Removing support
for that binding in favor of HTTP-POST in any published metadata
is an option of course.


Starta sedan om SP:n

SimpleSAMLphp

Det finns en liknande sårbarhet I SimpleSAMLphp via deras HTTP-Redirect. Har inte kunnat verifiera men utifrån vad jag läst så är det samma grundproblem.

https://github.com/advisories/GHSA-46r4-f8gj-xg56

Här gäller det att https://github.com/simplesamlphp/saml2 behöver uppdateras till 4.17.0

Antingen uppdaterar ni enbart detta paket ELLER så uppdaterar ni hela simpleSAMLphp till 2.3.7 eller 2.2.5

https://github.com/simplesamlphp/simplesamlphp/releases