Authentication Bypass In eIDAS-Node

Title

Authentication Bypass

Product

eIDAS-Node

Vulnerable Version

<=v2.3 (v2.1 vulnerability #2)

Fixed Version

v2.3.1

CVE Number

CVE-2019-18632, CVE-2019-18633

Impact

critical

Homepage

https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package

Found

31.05.2019

By

Wolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab

Durch Fehler in der Zertifikatsprüfung akzeptierte die eIDAS-Node Software der Europäischen Kommission manipulierte SAML-Nachrichten, wodurch ein Angreifer in der Lage gewesen wäre eIDAS-Authentifizierung zu umgehen und eine fremde Identität anzunehmen.

Zum ausführlichen Blog-Post bzw. Security-Advisory (Englisch)

Security Research: Wolfgang Ettlinger / @2019

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück