XML-Signature-Wrapping-Angriffe hebeln digitale Signatur aus

Sicherheitslücke bei Single-Sign-On geschlossen

Bochumer Forscher haben beim „Single-Sign-on“ mit der Security Assertion Markup Language (SAML) ein Sicherheitsproblem entdeckt und gemeinsam mit den betroffenen Anbietern behoben.

Bei 11 von 14 untersuchten Systemen, mit denen sich User durch einmaliges Login für mehrere Dienste und Anwendungen anmelden können, lässt sich die digitale Signatur aushebeln, meldete das Forscherteam rund um Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum. „Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt”, berichtet Schwenk. So habe man sich jede beliebige Identität aneignen können, sogar die eines Systemadministrators.

Zu den verwundbaren Systemen zählen die CRM-Software Salesforce, das IBM Datapower Security Gateway XS40, das Framework Open SAML und das Open Source-Toolkit Onelogin, das z.B. von Joomla, SugarCRM und Drupal benutzt wird.

www.nds.rub.de/research/publications/BreakingSAML/

Bildquelle: Gerd Altmann / pixelio.de

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok