LemonLDAP::NG SAML XML 签名封装安全漏洞

漏洞信息详情

LemonLDAP::NG SAML XML 签名封装安全漏洞

• CNNVD编号：CNNVD-201212-289
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2012-6426
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-12-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-12-21
  
• 厂        商：
  
  lemonldap-ng
• 漏洞来源：
  Cl??ment OUDOT

Lemonldap：：NG是模块化的单点登录解决方案，可管理认证和授权。

LemonLDAP：：NG 1.2.3之前版本中存在包含XML签名封装的安全漏洞，该漏洞源于不安全使用Lasso库，即使在强制签名检查的情况下，应用程序也没有对SAML签名进行检查。允许攻击者发送包含任意内容的消息通过应用验证，进行进一步攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/Presentation

来源: jira.ow2.org

链接:http://jira.ow2.org/browse/LEMONLDAP-570

来源: MLIST

名称: [oss-security] 20121220 Re: [CVE-2012-6426] LemonLDAP-NG SAML XML Signature Wrapping

链接:http://openwall.com/lists/oss-security/2012/12/20/6

来源: MLIST

名称: [oss-security] 20121219 [CVE-2012-6426] LemonLDAP-NG SAML XML Signature Wrapping

链接:http://openwall.com/lists/oss-security/2012/12/19/6

来源:SECUNIA

名称:51139

链接:http://secunia.com/advisories/51139

来源: BID

名称: 56983

链接:http://www.securityfocus.com/bid/56983