Shibboleth 2: Update behebt Authentifizierungs-Schwachstelle
Ältere Versionen der Service-Provider-Komponente von Shibboleth 2 enthalten einen fehleranfälligen Parser, der Angreifern unter bestimmten Voraussetzungen den Zugriff auf fremde Benutzerkonten ermöglichen kann. Aktualisierungen sind verfügbar.
(Bild: shibboleth.net)
Die Software Shibboleth, die die Authentifizierung und Autorisierung bei Webanwendungen und -services via Single Sign-on ermöglicht, weist eine kritische Schwachstelle auf.
Laut einem Sicherheitshinweis der Shibboleth-Entwickler befindet sie sich in der Service-Provider-Komponente aller 2er-Versionen vor 2.6.1. Sie ermöglicht Angreifern, sich mit verhältnismäßig geringem Aufwand an fremden Benutzerkonten anzumelden, um deren Zugriffsrechte zu missbrauchen oder persönliche Daten abzugreifen. Ein Update für die sicherheitsanfällige Programmbibliothek XMLTooling-C behebt das Sicherheitsproblem.
Falsch geparst
Das Ausnutzen der Schwachstelle (CVE-2018-0486) basiert auf Manipulationen von XML/SAML-Nachrichten, die die Shibboleth-Komponenten Identity-Provider (Client) und Service-Provider (Server) während des Authentifizierungsprozesses über den Browser des Nutzers austauschen. Ersetzt der Angreifer Teile des Benutzernamens in den Nachrichten durch bestimmte XML-Entitäten, kommt es zu Fehlinterpretationen durch den serverseitig installierten Parser in der XMLTooling-C-Bibliothek. Dies ermöglicht ihm letztlich die Anmeldung unter fremder Identität. Weitere Angriffsdetails sind einem Proof-of-Concept des IT-Sicherheitsdientsleisters RedTeam Pentesting zu entnehmen.
Die Shibboleth-Entwickler raten zur zügigen Aktualisierung von XMLTooling-C auf eine der gefixten Versionen ab einschließlich 1.6.3. Sie ist Bestandteil des aktuellen Service-Provider-Release 2.6.1.3. (ovw)
