Alert GCSA-20079 - Shibboleth Service Provider security advisory
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-20079
Data : 31 agosto 2020
Titolo : Vulnerabilita' in Shibboleth Service Provider
******************************************************************
:: Descrizione del problema
E' stato emesso un Security Advisory relativo a Shibboleth Service Provider
per una vulnerabilita' di tipo denial of service.
:: Software interessato
La vulnerabilita' riguarda il modulo per Microsoft IIS V7+.
:: Impatto
Il problema e' causato dal fallimento nella gestione delle eccezioni relative
a tentativi di lettura specifici dal client HTTP, che provoca un crash del
processo IIS (con relativo messaggio nell'event log di Windows).
:: Soluzioni
Aggiornare Service Provider alla versione 3.1.0.2, ora disponibile:
https://shibboleth.net/downloads/service-provider/3.1.0/win32/
https://shibboleth.net/downloads/service-provider/3.1.0/win64/
:: Riferimenti
https://shibboleth.net/community/advisories/secadv_20200831.txt
https://issues.shibboleth.net/jira/browse/SSPCPP-904
GARR CERT Newsletter subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCX0z1ugAKCRDBnEyTZRJg
QoA6AKDMxgmoTK4Cbjx356nzS8gcKIROPQCgthYIC3x3vlFXMfS5jBgZ5/eo2ng=
=zBSo
-----END PGP SIGNATURE-----