RE: Heise-Meldung "Systeme für Single-Sign-On geknackt"

Pohl, Christof christof.pohl at gwdg.de
Fr Aug 10 18:08:46 CEST 2012


Hallo,

> -----Original Message-----
> From: aai-users-bounces at aai.dfn.de [mailto:aai-users-bounces at aai.dfn.de]
> On Behalf Of Bernd Oberknapp
> Sent: Friday, August 10, 2012 4:57 PM
> To: Benedict, Hans
> Cc: aai-users at aai.dfn.de
> Subject: Re: Heise-Meldung "Systeme für Single-Sign-On geknackt"
> 
> Hallo,
> 
> On Fri, 10 Aug 2012, Benedict, Hans wrote:
> 
> > gibt es schon irgendwelche Informationen dazu, welche Maßnahmen in
> > Bezug auf die heute gemeldete Angriffsmöglichkeit auf
> > OpenSAML/Shibboleth zu ergreifen sind?
> >
> das Problem war laengst bekannt und, wie in der Meldung angegeben,
> behoben:
> https://www.aai.dfn.de/aktuelles/newsansicht/article/shibboleth-security-
> update-verfuegbar-175/
> Die einzig notwendige Massnahme ist bzw. war also das Einspielen der
> Updates.

vielen Dank, ich hatte den Text auf Heise nicht sofort auf dieses "alte" Problem beziehen können. ;-) Alle Shibboleth-Installationen mit Version 2.3.2 oder später sind gegen den Angriff geschützt. Wer innerhalb der vergangenen 12 Monate ein Update vorgenommen hat, sollte auf der sicheren Seite sein.

Viele Grüße
Christof Pohl



Mehr Informationen über die Mailingliste Aai-users