拉索错误绑起来并由企业应用程序访问开发人员置换
Akamai提供了深度潜水分析其企业应用程序访问中最近修补的缺陷(EAA)访问控制和身份验证平台。
EAA允许企业用户进行访问控制和验证基于第三方身份提供者提供的身份信息的决定。
EAA的开发人员利用了套索开源库以支持安全断言标记语言(SAML)V2.0身份验证协议 - 身份提供商广泛使用的技术。
对拉索的依赖左EAA暴露于最近发现的XML签名包装(XSW)的效果脆弱性在图书馆。XML签名包装是一类已知的漏洞(以前的示例这里,,,,这里, 和这里)。
协调的响应
拉索脆弱性 - 被追踪为CVE-2021-28091- 可以允许攻击者对有效的SAML响应医生,以便它包含未签名的SAML断言。
该缺陷的CVSS得分为8.2,达到量表的顶端。
对于EAA,对Lasso的依赖为可能的利用设置了前提,攻击者模仿了目标系统的另一个用户。
剥削可能会采取某种形式的形式中间的操纵器攻击或通过滥用通过网络钓鱼获得的受损证书的攻击。
幸运的是,Akamai的事件响应专家和Lasso的开发人员在开发补丁时能够共同进行协调的披露过程。
补丁开发
该修复程序在Akamai的技术博客文章中深入解释,涉及对构成有效请求的内容进行更严格的密码检查和控制。
开发商在2月提出的最初缓解措施是不完整的,这促使Akamai技术人员提出了一项更完整的解决方案,此后已通过。
Akamai建议,依靠拉索的SYSADMIN应尽快进行修补。
