Спуфинг атака в Shibboleth Identity Provider и OpenSAML

Дата публикации:
28.08.2014
Дата изменения:
28.08.2014
Всего просмотров:
908
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-3603
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenSAML 2.x
Shibboleth 2.x
Уязвимые версии:
Shibboleth Identity Provider versions версии до 2.4.1
OpenSAML versions версии до 2.6.2

Описание:
Уязвимости позволяют удаленному пользователю осуществить спуфинг атаку.

Уязвимость существует из-за того, что приложение неправильно проверяет имя хоста в сертификатах X.509. Удаленный пользователь может осуществить MitM-атаку.

URL производителя: https://spaces.internet2.edu/display/IWS/Shibboleth+wiki+spaces+have+moved

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://shibboleth.net/community/advisories/secadv_20140813.txt