{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Shibboleth ist ein webbasiertes Single-Sign-On-System. Der Identity Provider (IdP) ist für die Benutzerauthentifizierung und die Bereitstellung von Benutzerinformationen verantwortlich.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Shibboleth Identity Provider ausnutzen, um Sicherheitsvorkehrungen zu umgehen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-1218 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1218.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-1218 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1218"
    }, {
      "category" : "external",
      "summary" : "Shibboleth Identity Provider Plugin Security Advisory vom 2023-05-15",
      "url" : "http://shibboleth.net/community/advisories/secadv_20230512.txt"
    } ],
    "source_lang" : "en-US",
    "title" : "Shibboleth Identity Provider: Mehrere Schwachstellen ermöglichen Umgehen von Sicherheitsvorkehrungen",
    "tracking" : {
      "current_release_date" : "2023-05-15T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:50:54.204+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-1218",
      "initial_release_date" : "2023-05-15T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-05-15T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Shibboleth Identity Provider OIDC OP plugin < 3.4.0",
        "product" : {
          "name" : "Shibboleth Identity Provider OIDC OP plugin < 3.4.0",
          "product_id" : "T027734",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:shibboleth:identity_provider:3.4.0::oidc_op_plugin"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Shibboleth"
    } ]
  },
  "vulnerabilities" : [ {
    "notes" : [ {
      "category" : "description",
      "text" : "In Shibboleth Identity Provider existieren mehrere Schwachstellen im \"OpenID Connect OP plugin\" aufgrund von Race-Conditions. Ein Angreifer kann sich in bestimmten Situationen, z.B. bei hoher Systemlast, fälschlicherweise mit dem Secret eines anderen Clients authentisieren oder er bekommt die falsche Policy zugewiesen, wodurch andere Berechtigungen gewährt werden als erwartet."
    } ],
    "release_date" : "2023-05-15T22:00:00.000+00:00"
  } ]
}