漏洞信息详情
Shibboleth Identity Provider和OpenSAML Java 安全漏洞
- CNNVD编号:CNNVD-201507-200
- 危害等级: 中危
- CVE编号: CVE-2015-1796
- 漏洞类型:
- 发布时间: 2015-07-09
- 威胁类型: 远程
- 更新时间: 2021-03-01
- 厂 商: shibboleth
- 漏洞来源:
漏洞简介
Shibboleth是英国Shibboleth公司的一套开源的基于SAML协议的Web单点登录系统。Shibboleth Identity Provider(IdP)是其中的一个身份提供者。OpenSAML Java(OpenSAML-J)是一个使用Java语言编写的开源且用于实现SAML(Security Assertion Markup Language,安全断言标记语言)的库。
Shibboleth IdP 2.4.4之前版本和OpenSAML-J 2.6.5之前版本的PKIX Trust组件中存在安全漏洞,该漏洞源于当entityID没有使用可信的名称时程序仍认为X.509证书是可信的。远程攻击者可借助<shibmd:KeyAuthority>标签中的证书利用该漏洞冒充实体。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://shibboleth.net/community/advisories/secadv_20150225.txt
参考网址
来源:www.ibm.com
链接:https://www.ibm.com/blogs/psirt/security-bulletin-multiple-vulnerabilities-identified-in-ibm-storediq/
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2021.0721
来源:www.ibm.com
链接:https://www.ibm.com/blogs/psirt/security-bulletin-ibm-resilient-soar-is-using-opensaml-2-6-4-jar-that-could-be-vulnerable-to-bypass-security-restrictions-cve-2015-1796/
受影响实体
- Shibboleth Identity_provider:2.4.3
- Shibboleth Opensaml_java:2.6.4
补丁
- opensaml-2.6.5-bin
- shibboleth-identityprovider-2.4.4-bin
- shibboleth-identityprovider-2.4.4-bin
评论