La bibliothèque Sustainsys.Saml2 a été mise à niveau vers la version 1.0.2.

FlexNet Manager Suite version 2022 R1

En raison de la vulnérabilité de sécurité CVE-2020-5268, la bibliothèque Sustainsys.Saml2 a été mise à niveau vers la version 1.0.2.

La vulnérabilité de sécurité affecte les versions de FlexNet Manager Suite 2016 R1 SP1 (publiées le 15 décembre 2016) et des actions correctives ont été prises pour s'assurer que cette vulnérabilité est désormais corrigée dans FlexNet Manager Suite 2022 R1.

Synthèse de CVE-2020-5268

La bibliothèque Sustainsys.Saml2 traite de manière incorrecte tous les jetons entrants comme des jetons porteurs, même s'ils ont une autre méthode de confirmation d’objet spécifiée. Les attaquants peuvent profiter de cette vulnérabilité pour accéder aux jetons Saml2 par une autre méthode de confirmation d’objet que le porteur. L'attaquant peut alors utiliser un jeton de ce type pour créer une session de connexion.

Que devez-vous faire ?

Afin de corriger la vulnérabilité dans votre environnement, procédez comme suit :
  • Mise à niveau vers FlexNet Manager Suite 2022 R1.
    Note: Avant la mise à niveau, faites une copie de votre configuration kentor.authservices actuelle à partir du fichier web.config. Ces informations sont nécessaires pour plus tard.

    Après avoir effectué la mise à niveau vers FlexNet Manager Suite 2022 R1, vous devez effectuer les deux actions suivantes :

  • Appliquez la configuration kentor.authservices qui était utilisée dans votre version précédente de FlexNet Manager Suite à la nouvelle section sustainsys.saml2 dans le fichier web.config.
    • Les attributs et les propriétés restent les mêmes et aucune valeur n'a besoin d'être mise à jour. Tout ce qui est requis, c’est un copier-coller de la configuration kentor.authservices de la version de FlexNet Manager Suite à partir de laquelle vous avez effectué la mise à niveau vers la nouvelle section sustainsys.saml2 du fichier web.config. Remarque : assurez-vous que l'attribut authenticationType dans l'élément signOn est paramétré sur Saml.
  • Mettez à jour les URL d'authentification unique et de déconnexion unique pour le fournisseur d'identité.
    • Mettez à niveau https://wapsvr/Suite/AuthServices/Logout vers https://wapsvr/Suite/Saml2/Logout.
    • Mettez à niveau https://wapsvr/Suite/AuthServices/Acs vers https://wapsvr/Suite/Saml2/Acs.

Les clients utilisant SSO ne pourront pas se connecter à FlexNet Manager Suite 2022 R1 s'ils n'ont pas effectué les actions indiquées ci-dessus.

La mise à niveau de FlexNet Manager Suite 2022 R1 n'est pas obligatoire et l'authentification SSO continuera de fonctionner normalement pour les versions existantes et les nouvelles installations. Cependant, les clients exécutant les versions de FlexNet Manager Suite 2016 R1 SP1 et ultérieures sont sensibles à la vulnérabilité de sécurité CVE-2020-5268.

FlexNet Manager Suite (Sur site)

2022 R1