E' stata individuata una vulnerabilità nelle librerie XML utilizzate
dal software Shibboleth Service Provider.
La vulnerabilità permette di bypassare il controllo di sicurezza
della firma digitale dando ad un attaccante la possibilità di i
impersonare un altro utente ed ottenere informazioni confidenziali.
Maggiori dettagli sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Shibboleth Service Provider con librerie XMLTooling-C
in versione precedente alla V1.6.4
:: Impatto
Digital signature verification bypass
:: Soluzioni
Aggiornare alla versione V1.6.4 o successiva le librerie XMLTooling-C
e riavviare tutti i processi che ne fanno uso (shibd, Apache, etc.)
:: Riferimenti
Shibboleth Service Provider Security Advisory
https://shibboleth.net/community/advisories/secadv_20180227.txt
https://shibboleth.net/community/advisories/secadv_20180112.txt