12月14日,Mattermost与Golang团队发布了3个Go 语言XML 解析器安全漏洞。漏洞影响多个基于Go 的SAML 实现,可能引发完整的SAML 认证绕过。
专注于为中小企业提供成都网站设计、成都做网站服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业全州免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了近千家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
XML 解析器不能保证完整性
下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果,也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果:
这些漏洞是紧密相关的,其中核心的共性问题是:恶意伪造的XML markup可以通过GO的编解码实现在多轮通信中会发生变异(变化)。
Mattermost 产品安全工程师Nurminen 解释说,如果应用使用XML 解析器,那么编码器和解码器就不会保留原始markup的语义。
应用在处理XML 和解析不是之前解析和序列化的输出的markup时,就不能保证解析的输出和上一轮的输出是匹配的。换句话说,通过Go 的编码器和解码器传递XML 并不能保留其语义。
其中一个补丁也证明了由于这些漏洞,在XML 解析期间确实会发生不连续的情况。比如,`
SAML 认证绕过
这看起来是个简单的漏洞,虽然许多应用都希望能实现语义的完整性,但这些漏洞可能会引发严重的后果。
比如,攻击者可以触发利用上述XML 解析器的SAML 实现来绕过SAML 认证。Security Assertion Markup Language (SAML)是一种web认证标准,被许多主流网站和服务使用。由于这些漏洞,基于Go 的SAML实现可以被攻击者利用,通过注入恶意markup到正确签名的SAML消息中,这样看起来是经过正确签名的,但是其语义与原始文档就完全不同了。
对于SAML SSO系统来说,攻击者利用有漏洞的XML 解析器可能会引发权限提升或认证绕过。
目前没有补丁
目前,Go 安全团队已经发布安全公告,但是目前还没有补丁来快速修复这些安全漏洞。因为round-trip (多轮)稳定性并部署encoding/xml支持的安全特性,因此单单补丁本身也无法确保XML 解析的可靠性。
但是目前已经有多个基于Go 的SAML 项目发布了修复版本,比如:
更多技术细节参见:https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/
本文翻译自:
https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/
当前名称:Golang XML解析器漏洞可引发SAML认证绕过
本文网址:http://www.shufengxianlan.com/qtweb/news30/548330.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联