Erros críticos no analisador Galang XML podem fazer a autenticação SAML omitida

Esta semana, Mattermost, em coordenação com Golang, revelou 3 vulnerabilidades críticas no analisador XML da linguagem Go.

Se exploradas, essas vulnerabilidades, que também afetam várias implementações de SAML baseadas em Go, podem levar a um desvio completo da autenticação SAML que alimenta os principais aplicativos da Web atualmente.

índice

  1. O analisador XML não garante a integridade
  2. Possível desvio completo da autenticação SAML
  3. Não há patches disponíveis para o analisador em si.

O analisador XML não garante a integridade

As vulnerabilidades de ida e volta XML listadas abaixo ocultam-se na codificação/xml do analisador de linguagem XML de Golang, que não retorna resultados confiáveis ​​ao codificar e decodificar a entrada XML.

Isso significa que a marcação XML, quando codificada e decodificada com o analisador, pode retornar resultados inesperados e inconsistentes.

"Como é evidente pelas manchetes, as vulnerabilidades estão intimamente relacionadas. O principal problema é o mesmo em todos os três casos: a marcação XML mal-intencionada muda durante as viagens de ida e volta através das implementações de codificador e decodificador do Go." disse Juho Nurminen, engenheiro de segurança de produtos da Mattermost.

Nurminen explicou que isso significa que, se um aplicativo usar o analisador XML, o codificador e o decodificador não reterão a semântica da marcação original.

"Se seu aplicativo processa XML e analisa a marcação durante o processamento, que é o resultado de pelo menos um ciclo de verificação e serialização anterior, você não pode mais presumir que o resultado dessa análise corresponde ao resultado da rodada anterior. Em outras palavras, passar XML pelo decodificador e codificador do Go não preserva sua semântica, explicou Nurminen.

Uma das correções parciais feitas para as vulnerabilidades demonstra as inconsistências que podem ocorrer durante a análise de XML devido a essas falhas.

Por exemplo, <:name>` removeria os dois pontos e, da mesma forma, uma tag XML com um atributo contendo um valor vazio (" ") seria renderizada sem o atributo durante a serialização.

Possível desvio completo da autenticação SAML

Embora isso possa parecer um bug trivial à primeira vista, Mattermost aponta que mais aplicativos esperam integridade semântica, e essas vulnerabilidades podem ter sérias consequências.

Por exemplo, os invasores podem enganar várias implementações de SAML, que dependem desse analisador XML, para ignorar completamente a autenticação SAML.

SAML (Security Assertion Markup Language) é um padrão de autenticação da Web usado por vários sites e serviços importantes para facilitar o acesso online usando XML.

"Devido a essas vulnerabilidades, as implementações de SAML baseadas em Go são, em muitos casos, propensas a serem manipuladas por um invasor: inserindo uma marcação maliciosa em uma mensagem SAML devidamente assinada, é possível fazer com que ela ainda pareça devidamente assinada, mas altere sua semântica para transmitir uma identidade diferente da do documento original", alertou More Matters.

Se um aplicativo de missão crítica usa o analisador XML, o impacto em um sistema SSO SAML pode ser o escalonamento de privilégios ou o desvio de autenticação, dependendo de como o aplicativo usa o analisador XML vulnerável.

Não há patches disponíveis para o analisador em si.

Vale a pena notar que a equipe de segurança do Go informou neste momento que não há patches disponíveis para lidar adequadamente com essas vulnerabilidades.

A correção de confirmação descrita acima também afirma que a estabilidade de ida e volta não é uma propriedade de segurança com suporte de xml/codificação, torne a correção insuficiente para garantir a confiabilidade da análise de XML.

No entanto, versões fixas foram lançadas para alguns dos projetos individuais de SAML baseados em Go, como:

Além disso, Mattermost forneceu uma ferramenta "xml-roundtrip-validator" que pode ser usada como uma solução alternativa ao incorporar a validação XML em seu aplicativo.

As descobertas completas dos pesquisadores da Mattermost e o momento do lançamento são fornecidos em sua postagem no blog.

  • Os usuários do Nest Hub Max agora podem começar a fazer videochamadas em grupo via Zoom – Geek Review
  • Pedido de um "Cyberpunk 2077" jogável encerra a promoção gratuita do Stadia Premiere

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Deixe uma resposta Cancelar resposta

Qual programa é usado para visualizar XML?

Há uma grande variedade de programas que você pode usar, incluindo Edit Plus, Office XML Handler, oXygen XML Editor, XML Explorer, XML Viewer, XML Marker, etc. Nesse caso, usaremos uma opção gratuita chamada XML Notepad.

O que é um XML e para que serve?

XML é uma linguagem de marcação semelhante ao HTML. Significa Extensible Markup Language e é uma especificação W3C como uma linguagem de marcação de uso geral . 7 dias atrás

Como posso ver um XML?

Abra um arquivo de dados XML para importar seus dados

  1. Clique em Arquivo > Abrir .
  2. Na caixa de diálogo Abrir , clique na unidade, pasta ou local da Internet que contém o arquivo que você deseja abrir .
  3. Selecione o arquivo e clique em Abrir .

O que é XML e exemplo?

XML significa Extensible Markup Language, que podemos traduzir como Extensible Markup Language, embora seja realmente uma metalinguagem. Normalmente, os arquivos XML contêm informações de qualquer tipo, sejam informações confidenciais ou informações de qualquer escopo.

Ir arriba