Authentication Bypass in eIDAS-Node

Project Description

Durch Fehler in der Zertifikatsprüfung akzeptierte die eIDAS-Node Software der Europäischen Kommission manipulierte SAML-Nachrichten, wodurch ein Angreifer in der Lage gewesen wäre eIDAS-Authentifizierung zu umgehen und eine fremde Identität anzunehmen.
Zum ausführlichen Blog-Post bzw. Security-Advisory (Englisch)

Security Research: Wolfgang Ettlinger / @2019

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleAuthentication Bypass
  • ProducteIDAS-Node
  • Vulnerable version<=v2.3 (v2.1 vulnerability #2)
  • Fixed versionv2.3.1
  • CVE numberCVE-2019-18632, CVE-2019-18633
  • Impactcritical
  • Homepagehttps://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package
  • Found2019-06
  • ByWolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab

Cookie Preference

Welche Cookies möchten Sie zulassen?

Bitte treffen Sie eine Auswahl

Danke! Auswahl gespeichert.

Hilfe

Keine Tracking-Cookies zulassen

To continue, you must make a cookie selection. Below is an explanation of the different options and their meaning.

  • Alle Cookies erlauben:
    All cookies such as tracking and analytics cookies.
  • Nur Cookies von dieser Seite zulassen:
    Only cookies from this website.
  • Keine Tracking-Cookies zulassen:
    No cookies except for those necessary for technical reasons are set.

You can change your cookie setting here anytime: Blog. Blog

Back