DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2071: Shibboleth: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie

Version 1 (2017-11-17 12:30)
Neues Advisory
Version 2 (2017-12-06 09:53)
SUSE stellt für die SUSE Linux Enterprise Produktvarianten Software Development Kit 12 SP2 und SP3, Server for Raspberry Pi 12 SP2 sowie Server 12 SP2 und SP3 Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 3 (2017-12-07 11:30)
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen nun ebenfalls Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Betroffene Software

Shibboleth < 2.6.1

Betroffene Plattformen

SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
Apple macOS
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3

Lösung

Patch

Debian Security Advisory DSA-4038-1

Patch

Shibboleth Service Provider Security Advisory [15 November 2017]

Patch

SUSE Security Update SUSE-SU-2017:3215-1

Patch

openSUSE Security Update openSUSE-SU-2017:3229-1

Beschreibung

Aufgrund eines Programmierfehlers im dynamischen 'MetadataProvider'-Plugin von Shibboleth werden kritische Sicherheitsprüfungen für zu schützende Bereiche nicht durchgeführt. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um die beabsichtigten Sicherheitsvorkehrungen zu umgehen und unterschiedliche Angriffe durchzuführen. Zu den Angriffen kann auch die Ersetzung von Metadaten gehören, wodurch der zu schützende Bereich vollständig kompromittiert werden kann.

Die kritische Schwachstelle wird vom Hersteller in Shibboleth Version 2.6.1 behoben. Das dynamische Laden von Metadaten über das Plugin ist allerdings nicht die standardmäßige Herangehensweise. Im zugehörigen Sicherheitshinweis findet sich ein Hinweis auf eine identische Schwachstelle in der OpenSAML-Bibliothek (siehe gesondertes Advisory).

Für Debian Jessie (oldstable) und Stretch (stable) stehen Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen

CVE-2017-16852: Schwachstelle in Shibboleth ermöglicht Umgehen von Sicherheitsvorkehrungen

Das 'MetadataProvider'-Plugin von Shibboleth wird verwendet, um bei Bedarf Metadaten eines Query-Servers abzufragen. Alle anderen Plugin-Typen verwenden dieses Plugin für kritische Sicherheitsprüfungen, wie die Verifizierung von Signaturen, und die Durchsetzung von Gültigkeitsbeschränkungen. Durch einen Programmierfehler in 'shibsp/metadata/DynamicMetadataProvider.cpp' für das dynamische 'MetadataProvider'-Plugin schlägt dessen Konfiguration mit von anderen Plugins zur Verfügung gestellten Filtern fehl, so dass alle beabsichtigten Prüfungen nicht durchgeführt werden.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.