Vigil@nce - OpenSAML C++, Shibboleth Service Provider : déni de service via XML
septembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des données XML malveillantes vers
OpenSAML C++ ou Shibboleth Service Provider, afin de mener un
déni de service.
Produits concernés : Debian, OpenSAML-C, Shibboleth SP, Unix
(plateforme) non exhaustif.
Gravité : 2/4.
Date création : 21/07/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque OpenSAML C++ analyse des données au format XML
à l’aide de XMLTooling-C.
Cependant, des données XML bien formées, mais avec un schéma
incorrect, provoquent une erreur fatale dans OpenSAML C++.
Un attaquant peut donc envoyer des données XML malveillantes vers
OpenSAML C++ ou Shibboleth Service Provider, afin de mener un
déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET