- Saml-admins - lists3.sunet.se

Fwd: Shibboleth Identity Provider Security Advisory [26 March 2025]

by Björn Mattsson

Hej, För kännedom. Är samma säkerhetshål som för Shibboleth SP som vi skickar om förra veckan. Men nu är det IdP:n som har fått en fix. Inte lika akut som SP:n men ni bör nog uppgradera ändå. Infon skickad till saml-admins + admin, teknik och säkerhetskontakt i metadatat för de Shibboleth IdP jag hittat i SWAMID // Björn M > Begin forwarded message: > > From: "Cantor, Scott via announce" <announce(a)shibboleth.net> > Subject: Shibboleth Identity Provider Security Advisory [26 March 2025] > Date: 27 March 2025 at 15:04:56 CET > To: "announce(a)shibboleth.net" <announce(a)shibboleth.net> > Cc: "Cantor, Scott" <cantor.2(a)osu.edu> > Reply-To: users(a)shibboleth.net > > Shibboleth Identity Provider Security Advisory [26 March 2025] > > An updated version of the OpenSAML Java library is available > which corrects a parameter manipulation vulnerability when > using SAML bindings that rely on non-XML signatures. > > The Shibboleth Identity Provider is impacted by this issue, and > it manifests as a low to moderate security issue in that context, > depending on its configuration. > > A separate advisory may be issued discussing the broader > implications for those using the OpenSAML library directly. > > Parameter manipulation allows the forging of signed SAML messages > ================================================================= > Vulnerabilities in the OpenSAML library used by the Shibboleth > Identity Provider allowed for creative manipulation of parameters > combined with reuse of the contents of older requests to fool the > library's signature verification of non-XML based signed messages. > > The uses of that feature involve very low or low impact use cases > without significant security implications, and allow an attacker > to forge signed messages used to request authentication or logout, > neither of which presents a major concern. > > The IdP's support for inbound SAML assertions (proxying SAML > authentication) did partially support the POST-SimpleSign binding > but is not believed vulnerable to an attack. This support was > not documented and has been removed in this patch out of caution. > > A moderate issue resulting in potential information disclosure (but > not forged logins) exists when the "skipEndpointValidationWhenSigned" > profile configuration option is used [1]. This option does not > implement standardized SAML behavior, and allows an IdP to be > manipulated into sending responses to any URL contained in a > request, provided the request is signed. > > This vulnerability allows an attacker to manipulate the IdP into > responding to a URL of the attacker's choice, but in doing so the > response can only be used compliantly by a Service Provider > operating under the expected entityID and at that exact location. > Furthermore, in most cases the enclosed data would be encrypted > under a key known only to the legitimate SP. It would be an > unusual and deliberate decision to implement this feature with > an SP *not* also having an encryption key to use, and moreover > to do so while relying on the known-vulnerable AES-CBC encryption > algorithm. > > Thus, a combination of a number of deliberate, and to some extent > poor, configuration choices create an information disclosure > concern. > > Recommendations > =============== > Update to V5.1.4 (or later) of the Identity Provider software. > > In the meantime, avoiding use of the "skipEndpointValidationWhenSigned" > profile option in conjunction with an SP without an encryption key > or which does not support the modern AES-GCM data encryption algorithm > is advisable as a mitigation. > > Credits > ======= > Thanks to Alexander Tan of SecureSAML for discovering and reporting > this vulnerability. > > > [1] https://shibboleth.atlassian.net/wiki/x/yKC0vg > [2] https://shibboleth.atlassian.net/wiki/x/koO0vg > > URL for this Security Advisory: > https://shibboleth.net/community/advisories/secadv_20250326.txt

11 months, 3 weeks

1
0
0 0

Underhåll på metadata.swamid.se - onsdag 26 mars

by Johan Wassberg

Hallihallå! Onsdag 26 mars med start klockan 09.00 kommer vi göra underhåll på metadata.swamid.se. Borde gå snabbt och smärtfritt, meddelar via denna kanal när allting är klart och verktyget redo att användas igen. -- jocar

11 months, 3 weeks

1
1
1 0

OpenSAML uppdatering

by Vyacheslav Lytvynenko

Hej Det kom in ett mail gällande sårbarheten i OpenSAML tidigare (https://wiki.sunet.se/pages/viewpage.action?pageId=241119211) dock står det väldigt lite kring hur man går tillväga med en uppdatering. Finns det någon lite mer detaljerad beskrivning eller tutorial för detta? Alt om någon har gjort det redan och kan hjälpa med instruktioner för Ubuntu. Är det fler delar som påverkas och behöver uppdateras när man uppdaterar OpenSAML? Mvh Vyacheslav Lytvynenko IT-avdelningen Högskolan i Skövde

11 months, 3 weeks

3
2
0 0

Fwd: SP for Windows service patch to correct log line

by Björn Mattsson

Hej. Som info. För er på Windowsplatformen kvittar 3.5.0.1 eller 3.5.0.2 båda är säkra men 3.5.0.2 visar rätt version i loggen. Linux CentoOS/Redhat mfl finns ju RPM:er från Shibboleth.net <http://shobboleth.net/> Debian - Släppte en fixad version för Shibboleth 3.4 i Söndags. Ubuntu - Finns buggraporter men inget släppt officielt. SUNET kör en del Ubuntu dock inte senaste. En kollega har byggt för oss :-) https://launchpad.net/~sunet/+archive/ubuntu/ppa // Björn M > Begin forwarded message: > > From: "Cantor, Scott via announce" <announce(a)shibboleth.net> > Subject: SP for Windows service patch to correct log line > Date: 18 March 2025 at 16:10:21 CET > To: "announce(a)shibboleth.net" <announce(a)shibboleth.net> > Cc: "Cantor, Scott" <cantor.2(a)osu.edu> > Reply-To: users(a)shibboleth.net > > We have posted a second service release for the SP (V3.5.0.2) [1]. > > This is a *non-essential* patch to correct a logging mistake. > > It was noted there's a second log line in the shibd.log output that reports the older OpenSAML version (3.3.0) instead of the correct one. This is cosmetic, and the correct version was logged later on in the file, but this is now corrected in the new patch to aid in assessing the state of systems in light of the recent advisory. > > Purely optional to apply, it contains no other changes. > > -- Scott > > [1] https://shibboleth.net/downloads/service-provider/latest/win32 > https://shibboleth.net/downloads/service-provider/latest/win64 > > > -- > To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net

12 months

2
2
0 0

MFA-krav för attestera betyg i LADOK påslaget?

by Simon Lundström

Hej! Vi får rapporter om att användare får MFA-krav när dom ska attestera betyg i både test och prod-miljön. Någon annan som ser det eller är det bara vår "instans" som är drabbad? MVH - Simon

12 months

1
1
0 0

Sårbarhet i SAML

by Björn Mattsson

Hej. Det har i dag släppts information om 2 säkerhetshål i SAML. HTTP-POST-SimpleSign i Shibboleth och HTTP-Redirect i SimpleSAMLphp. Kort så bör ni som kör Shibboleth antingen plocka ner och kompilera upp senaste OpenSAML (3.3.1) och Shibboleth 3.5 eller uppdatera en fil på burken. Många Linuxdistibutioner kör kvar på Shibboleth 3.4 och OpenSAML 3.2.x! Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten i SP:n. Gå in i protocols.xml och radera raden <Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" path="/SAML2/POST-SimpleSign" /> För er som kör SimpleSAMLphp gäller att uppdatera till senaste versionen 2.3.7 eller 2.2.5 För mer info se https://wiki.sunet.se/pages/viewpage.action?pageId=241119211 // Björn Mattsson

1 year

1
0
0 0

Fw: Sunetdagarna 6–8 maj – anmälan är öppen!

by Pål Axelsson

Hej, Nu börjar det närma sig Sunetdagarna denna gång på plats i Luleå. Identitet, inkl. SWAMID, kommer att vara onsdag eftermiddag och torsdag förmiddag. Pål ------ Vidarebefordrat meddelande ------ Från "Sunet" <noreply(a)nyhetsbrev.sunet.se> Till "Pål Axelsson" <pax(a)sunet.se> Datum 2025-03-07 13:07:18 Ämne Sunetdagarna 6–8 maj – anmälan är öppen! Sunetdagarna 2025 Webbversion <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Omslagsbild "Sunetdagarna 2025" <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Välkommen tillbaka till Sunetdagarna Sunetdagarna arrangeras i Luleå den 6–8 maj i samarbete med Luleå tekniska universitet. Nu kan du anmäla dig på sunetdagarna.se <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…>! Vårens program innehåller fyra spår med sessioner. Följ ett spår som intresserar dig, eller kombinera flera för att skräddarsy ditt eget program. Speciellt för detta år är möjligheten att besöka Sunets datacenter DC Orion. Under hela eventet får du även möjlighet att nätverka, lyssna på spännande keynotes och njuta av god mat och fika. Dessutom firar vi Sunets 40-årsjubileum tillsammans! Se programmet och anmäl dig på sunetdagarna.se senast den 11 april. <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Till anmälan <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Datum: 6–8 maj 2025 Plats: Luleå tekniska universitet. Det går ej att delta digitalt. Anmälan: Konferensen är kostnadsfri men platserna är begränsade så vänta inte för länge med din anmälan. Anmälan stänger den 11 april klockan 13.00. Sunetdagarna är för dig som arbetar i en Sunetansluten organisation eller är intresserad av Sunets verksamhet. Logotyp Luleå tekniska universitet <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Frågor? Kontakta info(a)sunetdagarna.se <mailto:info@sunetdagarna.se?subject=%20> Sunet logotyp <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Webb: sunet.se Telefon: 090-205 91 00 Besöksadress: Tulegatan 11, 113 53 Stockholm Sunet är en del av Vetenskapsrådet <https://evt.ungpd.com/Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Click?Con…> Avprenumerera <https://ui.ungpd.com/Contacts/6c47c5b8-6387-48df-ac1d-10f0bc78ac3b/Unsubscr…> pixel <https://evt.ungpd.com//Issues/604449b6-857d-4ac7-8518-71c59efbc00c/Prefetch…>

1 year

1
0
0 0

Uppdatering av discoverytjänsten SeamlessAccess - blank sida och ny varning

by Zacharias Törnblom

Idag kom en ny version av SeamlessAccess till allmän beskådan. Initialt så kommer det för vissa visas en vit ruta utan sökresultat som beror på problem med cachning mellan versioner, det ser ut så här och lösas genom en hård refresh / tömning av cache. [image: Screenshot 2025-02-27 at 15.13.16.png] Med den nya versionen kommer också en varningsruta, som visas om tjänsten saknar korrekt returnurl i sitt metadata. En kort guide för hur man åtgärdar det är på gång, men det handlar alltså om att adressen som skickas med till anvisningstjänsten ska stämma överens med det man angivit i metadatat. [image: image.png]

1 year

2
5
0 0

Radering av entiteter från SWAMID

by Johan Wassberg

Hej! Enligt SWAMID SAML WebSSO Technology Profile (3.2 och 3.3) ska en entitet årligen bekräfta att den uppfyller teknologi-profilen. Följande entiteter har trots påtryckning inte bekräftats och kommer därför raderas på datum nedan. Vet ni med er att entiteten används vid ert lärosäte behöver ni skyndsamt eskalera detta till rätt instans inom er organisation. Raderas 2023-03-19: https://test-kmh.hr.evry.se/shibboleth https://test-ki.hr.evry.se/shibboleth https://test-du.hr.evry.se/shibboleth Det går att följa status på dessa entiteter via vår felsida: https://metadata.swamid.se/admin/?action=ErrorList Finns entiteten kvar är den ännu inte hanterad (uppdateras varje onsdag morgon). Last Confirmed/Validated uppdateras dock löpande. -- jocar SWAMID Operations

1 year

1
0
0 0

Key-rollover Kaltura

by Roger Mårtensson

Begränsad delning Hej! Efter 10 långa år är det dags att göra en key-rollover på vårt metadatacertifikat för vår Sunet Play SP. Gissar att flera av er har gjort detta och tänkte höra hur er process har varit? Är det så enkelt som jag beskriver nedan? * generera ett nytt certifikat med t.ex. openssl (hitta info hos kaltura) * lägg publika certifikatet i metadata på metadata.swamid.se * vänta * ändra i kaltura Roger Mårtensson System specialist / Systemspecialist MID SWEDEN UNIVERSITY Avdelningen för infrastruktur / Division of infrastructure E-mail: roger.martensson(a)miun.se<mailto:roger.martensson@miun.se> Information about processing of personal data at Mid Sweden University: www.miun.se/en/personaldata<https://www.miun.se/en/personaldata>

1 year

1
0
0 0

2026

2025

2024

2023

2022

2021

Saml-admins