Alert GCSA-11053 - Vulnerabilita' nel software Shibboleth Service
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-11053
Data : 08 Luglio 2011
Titolo : Vulnerabilita' nel software Shibboleth Service Provider
(SP) e librerie XML Security
******************************************************************
:: Descrizione del problema
Sono state riscontrate alcune vulnerabilita' nel software Shibboleth
Service Provider (Shibboleth SP), che potrebbero causare Denial of
Service e interruzione del servizio.
Le vulnerabilita' riscontrate riguardano in realta' le librerie di
Apache XML Security for C++ Library (xml-security-c) in cui sono stati
riscontrati diversi problemi di buffer overflow nel firmare o verificare
file con chiavi piuttosto grandi. L'effetto dell'overflow causa un crash
del demone shibd nel software Shibboleth SP.
Si consiglia pertanto di aggiornare sia le librerie xml-security-c che
il software Shibboleth SP che contiene dipendenze aggiornate per le
nuove librerie.
:: Software interessato
Apache XML Security for C++ Library (xml-security-c) precedenti alla
versione 1.6.1
Shibboleth SP precedenti alla versione 2.4.3
:: Impatto
Denial of Service
:: Soluzioni
Applicare gli aggiornamenti rilasciati, tenendo conto che per non
compromettere il funzionamento andrebbero aggiornati entrambi: per
funzionare Shibboleth SP 2.4.3 necessita obbligatoriamente delle
librerie xml-security-c alla versione 1.6.1
Shibboleth SP 2.4.3
http://www.shibboleth.net/downloads/service-provider/latest/
Apache XML Security for C++ Library
Al momento la patch non e' ancora stata pacchettizzata per le varie
distribuzioni e va ricompilata a mano. Questo e' l'indirizzo della patch:
http://svn.apache.org/viewvc?view=revision&revision=1125752
:: Riferimenti
Shibboleth @ Internet2
http://shibboleth.internet2.edu/secadv/secadv_20110706.txt
Apache SANTUARIO
http://santuario.apache.org/secadv/CVE-2011-2516.txt
https://issues.apache.org/jira/browse/SANTUARIO-271
Secunia
http://secunia.com/advisories/45191/
http://secunia.com/advisories/45151/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2516
-----BEGIN PGP SIGNATURE-----
iQCVAwUBThbTp/OB+SpikaiRAQLJdQQAr757zDK7zfR7LaB/qp8O2yShgwndZ0V0
GV41mSCdBoEfQ7MRjy5rNFB+TX71kUTbWcpIHu2mmDD6+vDox772U9xpuCTTsGai
CQ+em2+6foLe+Tr3337NprV9sKATNOaZUxodl7Z0iaDtv1BaYdXCjJ1eNIzQ7eYn
FTiP68ekmgY=
=xpQ1
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-11053
Data : 08 Luglio 2011
Titolo : Vulnerabilita' nel software Shibboleth Service Provider
(SP) e librerie XML Security
******************************************************************
:: Descrizione del problema
Sono state riscontrate alcune vulnerabilita' nel software Shibboleth
Service Provider (Shibboleth SP), che potrebbero causare Denial of
Service e interruzione del servizio.
Le vulnerabilita' riscontrate riguardano in realta' le librerie di
Apache XML Security for C++ Library (xml-security-c) in cui sono stati
riscontrati diversi problemi di buffer overflow nel firmare o verificare
file con chiavi piuttosto grandi. L'effetto dell'overflow causa un crash
del demone shibd nel software Shibboleth SP.
Si consiglia pertanto di aggiornare sia le librerie xml-security-c che
il software Shibboleth SP che contiene dipendenze aggiornate per le
nuove librerie.
:: Software interessato
Apache XML Security for C++ Library (xml-security-c) precedenti alla
versione 1.6.1
Shibboleth SP precedenti alla versione 2.4.3
:: Impatto
Denial of Service
:: Soluzioni
Applicare gli aggiornamenti rilasciati, tenendo conto che per non
compromettere il funzionamento andrebbero aggiornati entrambi: per
funzionare Shibboleth SP 2.4.3 necessita obbligatoriamente delle
librerie xml-security-c alla versione 1.6.1
Shibboleth SP 2.4.3
http://www.shibboleth.net/downloads/service-provider/latest/
Apache XML Security for C++ Library
Al momento la patch non e' ancora stata pacchettizzata per le varie
distribuzioni e va ricompilata a mano. Questo e' l'indirizzo della patch:
http://svn.apache.org/viewvc?view=revision&revision=1125752
:: Riferimenti
Shibboleth @ Internet2
http://shibboleth.internet2.edu/secadv/secadv_20110706.txt
Apache SANTUARIO
http://santuario.apache.org/secadv/CVE-2011-2516.txt
https://issues.apache.org/jira/browse/SANTUARIO-271
Secunia
http://secunia.com/advisories/45191/
http://secunia.com/advisories/45151/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2516
-----BEGIN PGP SIGNATURE-----
iQCVAwUBThbTp/OB+SpikaiRAQLJdQQAr757zDK7zfR7LaB/qp8O2yShgwndZ0V0
GV41mSCdBoEfQ7MRjy5rNFB+TX71kUTbWcpIHu2mmDD6+vDox772U9xpuCTTsGai
CQ+em2+6foLe+Tr3337NprV9sKATNOaZUxodl7Z0iaDtv1BaYdXCjJ1eNIzQ7eYn
FTiP68ekmgY=
=xpQ1
-----END PGP SIGNATURE-----