E' stata individuata una vulnerabilità nelle librerie XML utilizzate
dal software Shibboleth Service Provider.
La vulnerabilità permette di bypassare il controllo di sicurezza
della firma digitale dando ad un attaccante la possibilità di i
impersonare un altro utente ed ottenere informazioni confidenziali.
Maggiori dettagli sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Shibboleth Service Provider con librerie XMLTooling-C
in versione precedente alla V1.6.4
:: Impatto
Digital signature verification bypass
:: Soluzioni
Aggiornare alla versione V1.6.4 o successiva le librerie XMLTooling-C
e riavviare tutti i processi che ne fanno uso (shibd, Apache, etc.)
:: Riferimenti
Shibboleth Service Provider Security Advisory
https://shibboleth.net/community/advisories/secadv_20180227.txt
https://shibboleth.net/community/advisories/secadv_20180112.txt
Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT