För kännedom.
// Björn M.
> Begin forwarded message:
>
> From: Philip Smart via announce <announce(a)shibboleth.net>
> Subject: OIDCCommon V2.2.1 now available
> Date: 13 June 2023 at 17:35:59 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: Philip Smart <Philip.Smart(a)jisc.ac.uk>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released V2.2.1 of the OIDCCommon plugin.
>
> The new version was needed to fix two issues related to auditing in the OP and attribute transcoding in the RP. See the release notes at [1].
>
> — Phil Smart, on behalf of the team
>
> [1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3232137218/OI…
>
> Jisc is a registered charity (number 1149740) and a company limited by guarantee which is registered in England under company number. 05747339, VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Services Limited is a wholly owned Jisc subsidiary and a company limited by guarantee which is registered in England under company number 02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company limited by shares which is registered in England under company number 09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
>
>
> For more details on how Jisc handles your data see our privacy notice here: https://www.jisc.ac.uk/website/privacy-notice
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom
/Paul
-------- Forwarded Message --------
From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
Reply-To: users(a)shibboleth.net
To: announce(a)shibboleth.net <announce(a)shibboleth.net>
Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
Subject: Shibboleth Service Provider Security Advisory [12 June 2023]
Date: 2023-06-12 14:34:44
Shibboleth Service Provider Security Advisory [12 June 2023]
An updated version of the XMLTooling library that is part of the
OpenSAML and Shibboleth Service Provider software is now available
which corrects a server-side request forgery (SSRF) vulnerability.
Parsing of KeyInfo elements can cause remote resource access.
=============================================================
Including certain legal but "malicious in intent" content in the
KeyInfo element defined by the XML Signature standard will result
in attempts by the SP's shibd process to dereference untrusted
URLs.
While the content of the URL must be supplied within the message
and does not include any SP internal state or dynamic content,
there is at minimum a risk of denial of service, and the attack
could be combined with others to create more serious vulnerabilities
in the future.
This issue is *not* specific to the V3 XMLTooling software and is
believed to impact all versions prior to V3.2.4.
Recommendations
===============
Update to V3.2.4 or later of the XMLTooling library, which is
now available. Note that on Linux and similar platforms, upgrading
this component will require restarting the shibd process to correct
the bug.
The updated version of the library has been included in a V3.4.1.3
patch release of the Service Provider software on Windows.
Other Notes
===========
The xmltooling git commit containing the fix for this issue is
6080f6343f98fec085bc0fd746913ee418cc9d30 and may be in general terms
applicable to V2 of the library.
Credits
=======
Juriën de Jong, an independent security researcher in the Netherlands
URL for this Security Advisory:
https://shibboleth.net/community/advisories/secadv_20230612.txt
--
To unsubscribe from this list send an email to
announce-unsubscribe(a)shibboleth.net
Hej!
Kan någon hjälpa mig förstå varför jag inte lyckas släppa norEduPersonLIN ordentligt till vår nya portal?
I Shibboleths debuglog får jag
2023-03-07 12:39:22,343 - DEBUG [net.shibboleth.idp.saml.profile.impl.BaseAddAttributeStatementToAssertion:321] - Profile Action AddAttributeStatementToAssertion: Attribute norEduPersonLIN does not have any transcoding rules, nothing to do|0:0:0:0:0:0:0:1|
Vår attribute-resolver.xml:
<AttributeDefinition xsi:type="ScriptedAttribute" id="norEduPersonLIN" xmlns="urn:mace:shibboleth:2.0:resolver">
<InputDataConnector ref="myLDAP" attributeNames="someADattribute" />
<AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:norEduPersonLIN" />
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.2428.90.1.4" friendlyName="norEduPersonLIN" />
<Script>
<![CDATA[
if (typeof someADattribute != "undefined" && someADattribute.getValues().size() > 0) {
value=someADattribute.getValues().get(0);
norEduPersonLIN.getValues().add("ladok.se:studentuid:" + value).toString;
}
]]>
</Script>
</AttributeDefinition>
Vår attribute-filter.xml:
<AttributeFilterPolicy id="releaseXXXXX">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://studen" />
<Rule xsi:type="Requester" value="https://studenu.se" />
</PolicyRequirementRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="norEduPersonLIN" >
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Vad jag tycker är konstigt är att vi gör i princip samma sak för norEduPersonNIN och det fungerar till flera SP utan problem. Vad gör jag för fel?
Mvh Tobias Galéus
IT-Enheten
Göteborgs universitet
Hej,
Förutom spamfiltreringsproblemet så har vi också upptäckt att Sunets
mailfilter avslår all e-post som innehåller wordbilagor om de innehåller om
den mall som används för filen är en s.k. remote template. Detta för att
denna typ av mallar används av malware.
När ni ska skicka in bilagor till operations, t.ex. vid uppdatering av
organisationens Identity Management Practice Statement (IMPS),
rekommenderar vi att ni skickar dem i PDF-format istället för som wordfiler.
Pål
Hej,
Om ni väntar på svar från SWAMID Operations via adressen
operations(a)swamid.se och inte fått något svar ber jag er kontrollera era
spamfoldrar. Vi har fått reda på att t.ex. e-post som passerar Microsofts
molntjänst spamhanteras. Vi håller på att titta på orsaken till detta och
gör nödvändiga justeringar.
Pål
Hej på er alla,
Under maj har SWAMID genomfört två workshops om MFA med över 40 deltagare
totalt. Vi vill tacka alla som deltagit, det har varit jättekul att ha
fysiska workshops igen. Det är en helt annan dynamik med
användarinteraktion och diskussioner än med de digitala. Vi kommer framöver
blanda mellan fysiska och digitala där vi kommer att fokusera de fysiska
runt s.k. hackaton där vi tillsammans tar fram lösningar och konfigurerar
programvaror.
På SWAMIDs wiki (https://wiki.sunet.se/display/SWAMID/Events+2023) har vi
nu lagt upp presentationer och konfigurationer som vi har jobbat med.
Ett varmt tack till er som deltog
Pål och resten av operations
För kännedom!
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider Plugin Security Advisory [12 May 2023]
> Date: 15 May 2023 at 18:41:34 CEST
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> Signed PGP part
> Shibboleth Identity Provider Plugin Security Advisory [12 May 2023]
>
> An updated version of the OpenID Connect OP plugin for the Shibboleth
> Identity Provider is now available which corrects a pair of race
> conditions in the client authentication and dynamic registration
> features.
>
> Both issues are of "low" severity, and neither is likely to manifest
> without significant load on the server.
>
> OpenID Connect OP plugin contains multiple race conditions
> ======================================================================
> A pair of race conditions have been identified in the OP plugin.
>
> The client authentication feature that processes requests from
> RP clients to validate access to the OP's endpoints contains a race
> condition that under load could result in clients being successfully
> validated with a client secret associated with a different client.
>
> This is difficult to exploit due to the lack of predictability, and
> would require a client have access to a client secret associated
> with a different client being validated at the same time.
>
> A second, less critical race condition was found in the part of the
> dynamic client registration support involving metadata policy.
> Unknown claims that are intended to be ignored and dropped may be
> validated by the wrong policy and could be included in a client's
> registration if allowed by the policy applied by mistake.
>
>
> Recommendations
> ===============
> Update to V3.4.0 or later of the OIDC OP plugin, which is now available.
> The IdP's plugin installer can perform this update process.
>
> Note that this plugin requires IdP V4.3, so you may need to patch the
> IdP first if you are on an unsupported version.
>
> This minor update includes some changes that may affect a small number of
> deployments, so please review the Release Notes [1] when upgrading.
>
>
> Credits
> =======
> This issue was discovered by the Shibboleth Project team itself.
>
> [1] https://shibboleth.atlassian.net/wiki/x/AQCCpQ
>
> URL for this Security Advisory:
> https://shibboleth.net/community/advisories/secadv_20230512.txt
>
>
Halloj!
Det är inte så många som hittat till vår nya QA-miljö vilket inte är så konstigt då vi inte marknadsfört den så mycket. På sikt kommer den ersätta SWAMID-testing (mer om det vid senare tillfälle). För er som hittat till QA-miljön tidigare kan jag meddela att vi bytt signerings-cert så ni behöver uppdatera i era programvaror.
Den nya nyckelns fingerprint (sha256) är
1E:BC:8E:62:0B:C9:3C:EB:C6:E0:7F:9E:34:B8:A1:9F:EA:A9:30:A1:9E:B5:31:B9:44:8B:0F:CC:3B:D9:17:D2
och den finns att ladda hem här: https://mds.swamid.se/qa/md/
--
jocar
SWAMID Operations
Hej,
I veckan har vi haft Sunetdagarna och de har varit lika intressanta som
vanligt. Jag vill tacka alla ni som var där för alla de diskussioner vi
hade. En av de saker som kom upp i diskussionerna, särskilt efter Zacharias
presentation om eduID, var det klassiska behovet av att digitalt bekräfta
studenter utan svenskt personnummer på AL2-nivå. I och med senaste årets
utveckling av eduID så är detta nu möjligt och därför lovade jag på stört
att vi bjuder in till ett webinar om detta så snart som möjligt och här är
inbjudan. Efter webinaret kommer vi som vanligt publicera eventuella
powerpointbilder under SWAMIDs wikiutrymme
<https://wiki.sunet.se/pages/viewpage.action?pageId=147521882>.
SWAMID Webinar 11 maj - AL2 för distansstudenter utan svenskt personnummer
*Syfte*
Att digitalt bekräfta studenter utan svenskt personnummer på samma sätt som
studenter med svenskt personnummer har fram till nu varit i princip
omöjligt. SWAMIDs tillitsprofil AL2 tillåter detta men ställer en del extra
krav på lärosätet ska koppla studenten till rätt användarkonto på
lärosätet. Under de senaste månaderna har eduID fått aktiverat stöd för att
bekräfta personer via europeiska e-legitimationer via eIDAS och nu senast
via resehandling, dvs. pass, för de som inte kan använda eIDAS.
På detta webinar går vi igenom regelverket i SWAMID AL2 och vad detta
innebär samt hur ni kan använda eduID för att bekräfta en person utan
svenskt personnummer.
*Målgrupp*
Detta webinar riktar sig till er som har behov att bekräfta användare utan
svenskt personnummer på AL2 via eduID.
*Datum & tid*
10.00 – 11.00 onsdagen den 18 maj
*Talare*
Pål Axelsson och Zacharias Törnblom
*Plats*
Zoom,
https://sunet.zoom.us/j/65301786490?pwd=YkxZbEpxdHVsNjZOVllrS0Y2bEhYZz09
Välkomna
Pål
Hej på er alla,
Jag har under senaste veckan ftt information om att flera lärosäten har
förändrat sina kontohanteringsprocesser utan att uppdatera sin Identity
Management Practice Statement (IMPS) och därefter fått den godkänd av
SWAMID Board of Trustees innan ändringen genomförts i produktion. Detta
innebär enligt regelverket att man blir av med sina godkända tillitsnivåer
om SWAMID får klagomål eller kännedom om det.
Jag vill att ni alla som har identitetsutfärdare kontrollerar att er
aktuella godkända IMPS stämmer överens med era nuvarande processer och om
inte skickar in en uppdatering snarast för granskning och godkännande. Om
ni inte vet vilken er senast godkända är hör av er till operations(a)swamid.se
så kan vi skicka ut den senaste godkända till er.
De förändringar som vi hittills har hört talas om som inte har genomgått
godkännande processen är förbättrade valideringsrutiner att det är rätt
användare får sitt användarkonto, t.ex. genom svensk e-legitimation och
specifikt Mobilt BankID.
Pål
