Aviso - Vulnerabilidade Shibboleth SP
Vulnerabilidade na biblioteca OpenSAML - Shibboleth SP
Last updated
Was this helpful?
Vulnerabilidade na biblioteca OpenSAML - Shibboleth SP
Last updated
Was this helpful?
No dia 13/03, foi divulgada uma nova vulnerabilidade na biblioteca OpenSAML C++, que afeta diretamente o Shibboleth SP e, por consequência, o Serviço CAFe.
A falha permite que, ao utilizar o binding HTTP-POST-SimpleSign (habilitado por padrão no Shibboleth SP), um atacante manipule parâmetros e forje mensagens SAML devidamente assinadas. Até o momento, não foram divulgados detalhes adicionais sobre a exploração da vulnerabilidade, tampouco um CVE com cálculos oficiais. Dada a criticidade do Serviço CAFe, estamos atuando preventivamente.
Medidas recomendadas:
A recomendação oficial é atualizar o OpenSAML para a versão 3.3.1 ou superior. No entanto, muitos repositórios oficiais das distribuições Linux ainda não disponibilizaram os pacotes necessários. Como medida de mitigação, orientamos que os provedores de serviço editem e comentem as seguintes linhas no arquivo shibboleth2.xml, conforme os serviços listados na tabela anexa:
<md:AssertionConsumerService Location="/SAML2/POST-SimpleSign" index="2" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" />
<PolicyRule type="SimpleSigning" errorFatal="true" />
Após a alteração, é necessário:
Reiniciar o serviço shibd.
Validar os metadados.
Enviar os metadados atualizados para atendimento@rnp.br com o assunto "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML"
Documentação de apoio:
A RNP em conjunto com seus parceiros disponibilizaram o manual "Vulnerabilidade-Shibboleth-SP-Remove-Bind-SAML.docx", contendo mais detalhes sobre o procedimento. O documento está em anexo.o.