Shibboleth Consortium har släppt en ny version av Shibboleth Service Provider, version 2.5.6. Denna version innehåller förutom prestandaförbättringar och mindre buggfixar även åtgärder för att täppa till den kritiska sårbarhet relaterad till XML-tolkningsverktyget Xerces-C version 3.1.2 [CVE-2016-0729]. Denna sårbarhet möjliggör för oautentiserade användare att utföra Denial-of-Service, och kodexekvering på servern. Det är rekommenderat att alla som använder Shibboleth Service Provider att uppgradera till v2.5.6 så snart som möjligt.
Release notes finns tillgängligt: https://wiki.shibboleth.net/confluence/display/DEV/SPRoadmap
CVE-2016-0729: http://seclists.org/oss-sec/2016/q1/439
För dem som köra Shibboleth SP på Linux distribueras inte Xerces-parsern som del av Shibboleth, utan den finns som del av Linuxdistributionen. För att åtgärda sårbarheten där krävs istället att uppgradera Xerces på Linuxmiljön:
http://apache.mirrors.spacedump.net/xerces/c/3/sources/xerces-c-3.1.3.tar.gz
Har ni frågor eller önskar hjälp med uppgraderingen, kontakta Certezza Support:
E-post: support@certezza.net
Telefon: 08-791 92 00
Rasmus Larsson
