Vigil@nce - Shibboleth Service Provider : lecture de mémoire non accessible via SAML
mars 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut forcer la lecture à une adresse
invalide via SAML de Shibboleth Service Provider, afin de mener un
déni de service.
Produits concernés : Shibboleth Service Provider
Gravité : 1/4
Date création : 20/03/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Shibboleth Service Provider gère des messages SAML
(Security Assertion Markup Language).
Cependant, l’analyse d’un message SAML malformé cherche à lire
une zone mémoire qui n’est pas accessible, ce qui provoque une
erreur fatale.
Un attaquant authentifié peut donc forcer la lecture à une
adresse invalide via SAML de Shibboleth Service Provider, afin de
mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET