Hej.

Det har i dag släppts information om 2 säkerhetshål i SAML.

 

HTTP-POST-SimpleSign i Shibboleth och HTTP-Redirect i SimpleSAMLphp.

 

Kort så bör ni som kör Shibboleth antingen plocka ner och kompilera upp senaste OpenSAML (3.3.1) och Shibboleth 3.5 eller uppdatera en fil på burken.

Många Linuxdistibutioner kör kvar på Shibboleth 3.4 och OpenSAML 3.2.x!

Då HTTP-POST-SimpleSign normalt inte används går det att plocka bort supporten i SP:n.

Gå in i protocols.xml och radera raden

 

<Binding id="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign"

            path="/SAML2/POST-SimpleSign" />

 

 

För er som kör SimpleSAMLphp gäller att uppdatera till senaste versionen 2.3.7 eller 2.2.5

 

För mer info se https://wiki.sunet.se/pages/viewpage.action?pageId=241119211


// Björn Mattsson