CVE-2017-16897: Mise à jour de la sécurité pour la bibliothèque Passport Strategy passport-wsfed-saml2

Date de publication: 22 décembre 2017

Numéro CVE: CVE-2017-16897

Crédit: Alan Bishop

Une vulnérabilité a été constatée dans la bibliothèque passport-wsfed-saml2, affectant les versions < 3.0.5. passport-wsfed-saml2 est un protocole WS-Federation et un fournisseur d’authentification de jetons SAML2 pour Passport.js.

Cette vulnérabilité permet à une personne malveillante de se faire passer pour un autre utilisateur avec privilèges plus élevés si le fournisseur d’identité SAML ne signe pas la réponse SAML entière, mais seulement l’assertion dans la réponse.

Une personne malveillante qui exploiterait avec succès cette vulnérabilité pourrait utiliser cette réponse pour créer un NameIdentifier différent dans le but de se connecter en tant qu’un autre utilisateur. Cette personne malveillante pourrait d’autre part lancer une attaque d’escalade de privilèges si elle s’authentifie en tant qu’utilisateur précis avec privilèges administratifs. Elle doit disposer d’un compte existant, ou être capable d’intercepter le trafic chiffré et de modifier la réponse SAML à la volée.

Cette mise à jour est destinée à éliminer cette vulnérabilité en évitant les attaques enveloppantes des éléments Assertion et Response, et en fournissant des modifications de protection dans les expressions XPath. Une mise à jour a d’autre part été implémentée pour améliorer la méthode de journalisation des informations concernant la signature de la réponse SAML.

La correction de cette vulnérabilité nécessite une mise à jour de la bibliothèque.

Cette vulnérabilité concerne les locataires du nuage utilisant la Connexion de fournisseur d’identité SAMLP par laquelle le fournisseur d’identité a :

• signé la réponse SAML et l’assertion, ou

• pas signé la réponse SAML, ni l’assertion.

Aucune action n’est requise pour les locataires du nuage Auth0.

Le permission de cette vulnérabilité couvre également les personnes utilisant la stratégie passport-wsfed-saml2 avec passport.js, qui nécessite une mise à niveau de la bibliothèque (voir la section suivante).

Les développeurs utilisant la bibliothèque passport-wsfed-saml2 doivent effectuer une mise à niveau vers la dernière version : 3.0.5.

Des packages mis à jour sont proposés sur npm. Pour assurer la livraison de corrections de bogues supplémentaires, veuillez vous assurer que votre fichier package.json est mis à jour pour recevoir les correctifs et les mises à jour mineures de nos bibliothèques.

{
  "dependencies": {
    "passport-wsfed-saml2": "^3.0.5"
  }
}

Non. Ce correctif corrige la bibliothèque que votre application exécute, mais n’aura pas d’impact sur vos utilisateurs, leur état actuel ou les sessions existantes.