Project Description
Durch Fehler in der Zertifikatsprüfung akzeptierte die eIDAS-Node Software der Europäischen Kommission manipulierte SAML-Nachrichten, wodurch ein Angreifer in der Lage gewesen wäre eIDAS-Authentifizierung zu umgehen und eine fremde Identität anzunehmen.
Zum ausführlichen Blog-Post bzw. Security-Advisory (Englisch)
Security Research: Wolfgang Ettlinger / @2019
Project Details
- TitleAuthentication Bypass
- ProducteIDAS-Node
- Vulnerable version<=v2.3 (v2.1 vulnerability #2)
- Fixed versionv2.3.1
- CVE numberCVE-2019-18632, CVE-2019-18633
- Impactcritical
- Homepagehttps://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package
- Found2019-06
- ByWolfgang Ettlinger (Office Vienna) | SEC Consult Vulnerability Lab