漏洞信息详情
LemonLDAP::NG SAML XML 签名封装安全漏洞
- CNNVD编号:CNNVD-201212-289
- 危害等级: 中危
- CVE编号: CVE-2012-6426
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2012-12-21
- 威胁类型: 远程
- 更新时间: 2012-12-21
- 厂 商: lemonldap-ng
- 漏洞来源: Cl??ment OUDOT
漏洞简介
Lemonldap::NG是模块化的单点登录解决方案,可管理认证和授权。
LemonLDAP::NG 1.2.3之前版本中存在包含XML签名封装的安全漏洞,该漏洞源于不安全使用Lasso库,即使在强制签名检查的情况下,应用程序也没有对SAML签名进行检查。允许攻击者发送包含任意内容的消息通过应用验证,进行进一步攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/Presentation
参考网址
来源: jira.ow2.org
链接:http://jira.ow2.org/browse/LEMONLDAP-570
来源: MLIST
名称: [oss-security] 20121220 Re: [CVE-2012-6426] LemonLDAP-NG SAML XML Signature Wrapping
链接:http://openwall.com/lists/oss-security/2012/12/20/6
来源: MLIST
名称: [oss-security] 20121219 [CVE-2012-6426] LemonLDAP-NG SAML XML Signature Wrapping
链接:http://openwall.com/lists/oss-security/2012/12/19/6
来源:SECUNIA
名称:51139
链接:http://secunia.com/advisories/51139
来源: BID
名称: 56983
链接:http://www.securityfocus.com/bid/56983
受影响实体
- Lemonldap-Ng Lemonldap%3a%3a:1.2.2
- Lemonldap-Ng Lemonldap%3a%3a:0.6
- Lemonldap-Ng Lemonldap%3a%3a:0.7:Beta
- Lemonldap-Ng Lemonldap%3a%3a:0.8
- Lemonldap-Ng Lemonldap%3a%3a:0.8.1
补丁
- lemonldap-ng-1.2.3
评论