Det har upptäckts ett säkerhetshål som har med HTTP-POST-SimpleSign I SAML att göra, det går att återanvända en gammal inloggning då allt inte är signerat via SimpleSign.
Shibboleth
https://shibboleth.net/community/advisories/secadv_20250313.txt
...
| Info |
|---|
Om ni kör äldre version av Shibboleth Service Provider än 3.5 behöver ni uppdatera till senast version som kan hantera uppdaterad OpenSAML. |
Behöver jag uppdatera ?
Titta i Shibboleth loggen. Hittar du "OpenSAML.Config : opensaml 3.3.1 library initialization complete" har du senaste versionen. I annat fall behöver du uppdatera !
Hur åtgärda ?
Windows
Shibboleth-konsortiet har släppt ett uppdaterat packet för Windows med en ny DLL för OpenSAML.
Ladda ner från https://shibboleth.net/downloads/service-provider/3.5.0/win64/ installera och starta om.
Linux
För linux räcker det att bygga den nya OpenSAML (https://shibboleth.net/downloads/c++-opensaml/3.3.1/) och starta om shibboleth:en om man kör 3.5. En varning dock är att många distributioner ligger kvar på Sibboleth-SP 3.4!
RPM baserad linux
Shibboleth-konsortiet har byggt nya RPM:er mer info på https://shibboleth.net/downloads/service-provider/3.5.0/RPMS/
Debian / Ubuntu mfl
Hittar ingen info just nu men hoppas att snart löser detta.
Debian och Ubuntu kör fortfarande Shibboleth SP 3.4 och OpenSAML 3.2. Testing/SID har SP 3.5 och OpenSAML 3.3.0.
Om ni inte kan uppdatera ?
Det finns ett sätt att mitigrera den kritiska delen under tiden. Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten I SP:n.
...
<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" path="/SAML2/POST-SimpleSign" />
Starta sedan om SP:n
SimpleSAMLphp
Det finns en liknande sårbarhet I SimpleSAMLphp via deras HTTP-Redirect. Har inte kunnat verifiera men utifrån vad jag läst så är det samma grundproblem.
...