Security Lab

Спуфинг атака в Shibboleth Identity Provider и OpenSAML

Дата публикации:28.08.2014
Всего просмотров:1133
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2014-3603
Вектор эксплуатации: Удаленная
Воздействие: Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenSAML 2.x
Shibboleth 2.x
Уязвимые версии:
Shibboleth Identity Provider versions версии до 2.4.1
OpenSAML versions версии до 2.6.2

Описание:
Уязвимости позволяют удаленному пользователю осуществить спуфинг атаку.

Уязвимость существует из-за того, что приложение неправильно проверяет имя хоста в сертификатах X.509. Удаленный пользователь может осуществить MitM-атаку.

URL производителя: https://spaces.internet2.edu/display/IWS/Shibboleth+wiki+spaces+have+moved

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://shibboleth.net/community/advisories/secadv_20140813.txt