Inicio / Content / Boletín de INCIBE-CERT del 03-06-2021

Boletín de INCIBE-CERT del 03-06-2021

Vulnerabilidad XSW en la librería Lasso

Fecha de publicación: 
03/06/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Lasso, versiones 2.5.0, 2.6.0 y 2.6.1.
  • Otros afectados:
    • productos de Cisco;
    • productos de Akamai;
    • Ubuntu;
    • Red Hat;
    • Debian.
Descripción: 

Se ha detectado una vulnerabilidad de severidad alta en la librería Lasso que podría permitir a un atacante autenticado causar una condición de denegación de servicio o realizar una suplantación de identidad.

Solución: 

Aplicar el parche de seguridad publicado por Lasso a la versión 2.7.0.

Detalle: 

Una vulnerabilidad de envoltura de firma XML (XSW, XML Signature Wrapping) en la librería Lasso podría permitir a un atacante autenticado modificar una respuesta SAML válida para incluir una aserción SAML sin firmar, de tal forma que pueda ser utilizada para suplantar a otro usuario legítimo reconocido por el servicio que utiliza Lasso. Se ha asignado el identificador CVE-2021-28091 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
Lasso 2.7.0
AKAMAI EAA IMPERSONATION VULNERABILITY - A DEEP DIVE
SAML IMPLEMENTATION VULNERABILITY IMPACTING SOME AKAMAI SERVICES
Lasso SAML Implementation Vulnerability Affecting Cisco Products: June 2021
RedHat CVE-2021-28091
Bug 1940089 (CVE-2021-28091) - CVE-2021-28091 lasso: XML signature wrapping vulnerability when parsing SAML responses
Etiquetas: 
Actualización
Cisco
Linux
Vulnerabilidad