Det har upptäckts ett säkerhetshål som har med HTTP-POST-SimpleSign I SAML att göra, det går att återanvända en gammal inloggning då allt inte är signerat via SimpleSign.

Shibboleth

https://shibboleth.net/community/advisories/secadv_20250313.txt

Felet ligger i OpenSAML biblioteket som bland annat används av Shibboleth-SP:n.

Shibboleth-konsortiet har släppt en uppdaterad version av OpenSAML (3.3.1) som de rekommenderar alla att uppdatera till

OpenSAML 3.3.x används av Shibboleth-SP 3.5. Så det räcker att uppdatera biblioteket, ingen uppdatering av SP:n i övrigt.

Problemet är att sårbarheten läckt ut I förtid varför väldigt får Linux distributioner hunnit plocka upp den.

Om ni kör äldre version av Shibboleth Service Provider än 3.5 behöver ni uppdatera till senast version som kan hantera uppdaterad OpenSAML.

Behöver jag uppdatera ?

Titta i Shibboleth loggen. Hittar du "OpenSAML.Config : opensaml 3.3.1 library initialization complete" har du senaste versionen. I annat fall behöver du uppdatera !

Hur åtgärda ?

Windows

Shibboleth-konsortiet har släppt ett uppdaterat packet för Windows med en ny DLL för OpenSAML.

Ladda ner från https://shibboleth.net/downloads/service-provider/3.5.0/win64/ installera och starta om.

Linux

För linux räcker det att bygga den nya OpenSAML (https://shibboleth.net/downloads/c++-opensaml/3.3.1/) och starta om shibboleth:en om man kör 3.5. En varning dock är att många distributioner ligger kvar på Sibboleth-SP 3.4!

RPM baserad linux

Shibboleth-konsortiet har byggt nya RPM:er mer info på https://shibboleth.net/downloads/service-provider/3.5.0/RPMS/

Debian / Ubuntu mfl

Debian har nu släppt libsaml12 3.2.1-3+deb12u1 som skall åtgärda buggen. 

https://security-tracker.debian.org/tracker/source-package/opensaml

Debian och Ubuntu kör fortfarande Shibboleth SP 3.4 och OpenSAML 3.2. Testing/SID har SP 3.5 och OpenSAML 3.3.0.

Om ni inte kan uppdatera ?

Det finns ett sätt att mitigrera den kritiska delen under tiden. Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten I SP:n.

Gå in i protocols.xml och radera raden

<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"  path="/SAML2/POST-SimpleSign" />

Starta sedan om SP:n

SimpleSAMLphp

Det finns en liknande sårbarhet I SimpleSAMLphp via deras HTTP-Redirect. Har inte kunnat verifiera men utifrån vad jag läst så är det samma grundproblem.

https://github.com/advisories/GHSA-46r4-f8gj-xg56

Här gäller det att https://github.com/simplesamlphp/saml2 behöver uppdateras till 4.17.0

Antingen uppdaterar ni enbart detta paket ELLER så uppdaterar ni hela simpleSAMLphp till 2.3.7 eller 2.2.5

https://github.com/simplesamlphp/simplesamlphp/releases