...
Titta i Shibboleth loggen. Hittar du "OpenSAML.Config : opensaml 3.3.1 library initialization complete" har du senaste versionen. I annat fall behöver du uppdatera !
För Debian 12 gäller att uppdatera libsaml12 till 3.2.1-3+deb12u1 dock står det fortfarande "INFO OpenSAML.Config : opensaml 3.2.1 library initialization complete" i loggen Men dpkg -l ger sanningen ihop med tidpunkten för log raden.
Hur åtgärda ?
Windows
Shibboleth-konsortiet har släppt ett uppdaterat packet för Windows med en ny DLL för OpenSAML.
...
| Info | ||
|---|---|---|
| ||
Debian har nu släppt libsaml12 3.2.1-3+deb12u1 som skall åtgärda buggen. https://security-tracker.debian.org/tracker/source-package/opensaml |
Debian och Ubuntu 12 kör fortfarande Shibboleth SP 3.4 och OpenSAML men om ni uppdaterar libsaml12 till 3.2.1-3+deb12u1 och starat om shibboleth processen så skall säkehetehålet var fixat. Dock rapporteras fortfarande versionen som 3.2.1 i loggarna från Shibb .
Debian Testing/SID har SP 3.5 och OpenSAML 3.3.0. Men för Sid finns nu libsaml13 3.3.1-1 som har patchen i sig. Testing är fortfarande sårbar.
Ubuntu kör också Shibboleth SP 3.4 och OpenSAML 3.2 men här har det ännu inte kommit ut någon patch,
Om ni inte kan uppdatera ?
| Warning | ||
|---|---|---|
| ||
Tidigare skrev Shibboleth-konsortiet att det gick att mitigrera genom att plocka bort <Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" path="/SAML2/POST-SimpleSign" /> Detta ändrades senare till att INTE hjälpa. |
...
Contrary to the initial publication of this advisory, there is no workaround within the SP configuration other than to remove the "SimpleSigning" security policy rule from the security-policy.xml file entirely. That will also prevent support of legitimate signed requests or responses via the HTTP-Redirect binding, which is generally used only for logout messages within the SP itself. Removing support for that binding in favor of HTTP-POST in any published metadata is an option of course.
...