Authentication Bypass in eIDAS-Node

Project Description

Durch Fehler in der Zertifikatsprüfung akzeptierte die eIDAS-Node Software der Europäischen Kommission manipulierte SAML-Nachrichten, wodurch ein Angreifer in der Lage gewesen wäre eIDAS-Authentifizierung zu umgehen und eine fremde Identität anzunehmen.

Zum ausführlichen Blog-Post bzw. Security-Advisory (Englisch)

Security Research: Wolfgang Ettlinger / @2019

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleAuthentication Bypass
  • ProducteIDAS-Node
  • Vulnerable version<=v2.3 (v2.1 vulnerability #2)
  • Fixed versionv2.3.1
  • CVE numberCVE-2019-18632, CVE-2019-18633
  • Impactcritical
  • Homepagehttps://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package
  • Found2019-06
  • ByWolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab

Cookie Preference

Please select an option. You can find more information about the consequences of your choice at Help.

Select an option to continue

Your selection was saved!

Help

Reject all tracking cookies

To continue, you must make a cookie selection. Below is an explanation of the different options and their meaning.

  • Accept all cookies:
    All cookies such as tracking and analytics cookies.
  • Accept first-party cookies only:
    Only cookies from this website.
  • Reject all tracking cookies:
    No cookies except for those necessary for technical reasons are set.

You can change your cookie setting here anytime: Blog. Blog

Back