漏洞信息详情
Shibboleth Service Provider Dynamic MetadataProvider插件安全漏洞
- CNNVD编号:CNNVD-201711-649
- 危害等级: 高危
- CVE编号: CVE-2017-16852
- 漏洞类型: 资料不足
- 发布时间: 2017-11-20
- 威胁类型: 远程
- 更新时间: 2017-11-20
- 厂 商: debian
- 漏洞来源:
漏洞简介
Shibboleth是英国Shibboleth公司的一套开源的基于SAML协议的Web单点登录系统。Shibboleth Service Provider(SP)是其中的一个服务提供商组件。Dynamic MetadataProvider plugin是其中的一个动态数据提供插件。
Shibboleth SP 2.6.1之前的版本中的Dynamic MetadataProvider插件的shibsp/metadata/DynamicMetadataProvider.cpp文件存在安全漏洞,该漏洞源于程序没有正确的使用MetadataFilter插件配置SP。攻击者可利用该漏洞绕过安全检查(签名验证、有效期执行等)。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://shibboleth.net/community/advisories/secadv_20171115.txt
参考网址
来源:CONFIRM
链接:https://bugs.debian.org/881857
来源:CONFIRM
链接:https://git.shibboleth.net/view/?p=cpp-sp.git;a=commit;h=b66cceb0e992c351ad5e2c665229ede82f261b16
来源:CONFIRM
链接:https://shibboleth.net/community/advisories/secadv_20171115.txt
受影响实体
- Debian Debian_linux:8.0
- Debian Debian_linux:9.0
补丁
- Shibboleth Service Provider Dynamic MetadataProvider插件安全漏洞的修复措施
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论