Une nouvelle faille vient d’être découverte dans le traitement XML réalisé par divers fournisseurs du service SAML
Résumé
Le logiciel « Service Provider » de Shibboleth et d’autres systèmes d’exécution SAML sont vulnérables aux attributs des faux utilisateurs, ce qui pourrait faciliter l’usurpation d’identité et la consultation des données personnelles.
Pour atténuer le risque, nous exhortons les fournisseurs de services qui adhèrent à la FCA ou qui utilisent le logiciel de leur institution d’agir sans délai en suivant les recommandations émises par le créateur de leur logiciel.
Comme cela a déjà été le cas auparavant, l’usage de XML Encryption, qui fait partie intégrante du protocole SAML, est une mesure d’atténuation importante. Ceux qui déploient les logiciels devraient prioriser l’application des correctifs prenant en charge les assertions SAML non chiffrées qui recourent au logiciel Service Provider visé par cet avis.
Mesures recommandées
Si vous utilisez le logiciel Service Provider de Shibboleth : passez à la version V1.6.4 ou à une version supérieure de la bibliothèque XMLTooling-C et relancez les procédures touchées (shibd, Apache, etc.).
Si vous utilisez un autre logiciel, similaire à Service Provider : passez en revue les avis du fournisseur et le blogue DUO sur la sécurité ci-dessous.
Complément d’information
Shibboleth : https://shibboleth.net/community/advisories/secadv_20180227.txt
Blogue sur les risques : https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementations
Des questions?
Envoyez-les au soutien à la clientèle de la FCA à tickets@canarie.ca.