Le fournisseur de service du logiciel Shibboleth a diffusé un avis concernant la sécurité des plateformes Linux et Windows.
Ce fournisseur est vulnérable à la falsification des attributs de l’utilisateur ce qui pourrait déboucher sur une usurpation d’identité et l’accès à des informations protégées.
Pour atténuer le risque, nous exhortons les fournisseurs de service qui adhèrent à la FCA ou qui utilisent le logiciel localement à leur institution de prendre immédiatement les mesures recommandées dans l’avis.
Pour atténuer le problème : mettre la bibliothèque XMLTooling-C à jour avec la version V1.6.3 ou une version postérieure et relancer les processus touchés (shibd, Apache, etc.).
D’autres précisions sont disponibles à l’adresse https://shibboleth.net/community/advisories/secadv_20180112.txt