Спуфинг атака в Shibboleth Identity Provider и OpenSAML

Дата публикации:
14.10.2014
Дата изменения:
14.10.2014
Всего просмотров:
572
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2014-3604
CVE-2014-3607
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии:
Shibboleth Identity Provider версии до 2.4.2
OpenSAML версии до 2.6.3

Описание:
Уязвимость позволяет удаленному пользователю осуществить спуфинг атаку.

1. Уязвимость существует из-за того, что приложение неправильно обрабатывает имя хоста в сертификатах, связанных с not-yet-commons-ssl. Удаленный пользователь может с помощью MitM-атаки осуществить спуфинг нападение на сервер.

2. Уязвимость существует из-за того, что приложение неправильно обрабатывает имя хоста в сертификатах, связанных с vtldap/ldaptive. Удаленный пользователь может с помощью MitM-атаки осуществить спуфинг нападение на сервер.

URL производителя: https://spaces.internet2.edu/display/OpenSAML/Home/

Решение: Установите последнюю версию с сайта производителя.



Ссылки: http://shibboleth.net/community/advisories/secadv_20140919.txt
https://bugzilla.redhat.com/show_bug.cgi?id=1131803