Aviso - Vulnerabilidade Shibboleth SP

No dia 13/03, foi divulgada uma nova vulnerabilidade na biblioteca OpenSAML C++, que afeta diretamente o Shibboleth SP e, por consequência, o Serviço CAFe.

A falha permite que, ao utilizar o binding HTTP-POST-SimpleSign (habilitado por padrão no Shibboleth SP), um atacante manipule parâmetros e forje mensagens SAML devidamente assinadas. Até o momento, não foram divulgados detalhes adicionais sobre a exploração da vulnerabilidade, tampouco um CVE com cálculos oficiais. Dada a criticidade do Serviço CAFe, estamos atuando preventivamente.

Medidas recomendadas:

A recomendação oficial é atualizar o OpenSAML para a versão 3.3.1 ou superior. No entanto, muitos repositórios oficiais das distribuições Linux ainda não disponibilizaram os pacotes necessários. Como medida de mitigação, orientamos que os provedores de serviço editem e comentem as seguintes linhas no arquivo shibboleth2.xml, conforme os serviços listados na tabela anexa:

• <md:AssertionConsumerService Location="/SAML2/POST-SimpleSign" index="2" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" />

• <PolicyRule type="SimpleSigning" errorFatal="true" />

Após a alteração, é necessário:

• Reiniciar o serviço shibd.

• Validar os metadados.

• Enviar os metadados atualizados para [email protected] com o assunto "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML"

Documentação de apoio:

A RNP em conjunto com seus parceiros disponibilizaram o manual "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML.docx", contendo mais detalhes sobre o procedimento. O documento está em anexo.o.