Shibboleth Identity Provider和penSAML Java 安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1561030 漏洞类型 其他
发布时间 2019-04-04 更新时间 2020-07-28
CVE编号 CVE-2014-3603 CNNVD-ID CNNVD-201904-208
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-208
|漏洞详情
Shibboleth是英国Shibboleth公司的一套基于Windows平台的开源的SAML协议的Web单点登录系统。Identity Provider(IdP)是其中的一个用户信息提供程序。OpenSAML Java(OpenSAML-J)是其中的一个使用Java语言编写的开源且用于实现SAML(Security Assertion Markup Language,安全断言标记语言)的库。 Shibboleth IdP 2.4.1之前版本和OpenSAML Java 2.6.2版本中存在安全漏洞,该漏洞源于HttpResource和FileBackedHttpResource的实现没有验证服务器主机名与X.509证书中的域名是否匹配。攻击者可借助任意有效的证书利用该漏洞伪造SSL服务器。
|参考资料

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1131823


来源:shibboleth.net

链接:http://shibboleth.net/community/advisories/secadv_20140813.txt


来源:secunia.com

链接:http://secunia.com/advisories/60816


来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2014-3603