Bibliothek Sustainsys.Saml2 auf Version 1.0.2 aktualisiert

FlexNet Manager Suite Version 2022 R1

Aufgrund der Sicherheitslücke CVE-2020-5268 wurde die Bibliothek Sustainsys.Saml2 aktualisiert und auf die Version 1.0.2 umgestellt.

Die Sicherheitslücke hat Auswirkungen auf FlexNet Manager Suite ab Version 2016 R1 SP1 (veröffentlicht am 15. Dezember 2016) und es wurden Abhilfemaßnahmen ergriffen, die sicherstellen, dass diese Lücke in FlexNet Manager Suite 2022 R1 nun geschlossen ist.

CVE-2020-5268 - Zusammenfassung

Die Bibliothek Sustainsys.Saml2 behandelt fälschlicherweise alle eingehenden Tokens wie „Bearer“-Tokens, auch wenn für sie eine andere Subjektbestätigungsmethode festgelegt ist. Angreifer könnten diesen Sicherheitslücke nutzen, um Zugriff auf Saml2-Tokens zu erlangen, deren Subjektbestätigungsmethode nicht „Bearer“ ist. Mit einem solchen Token könnten die Angreifer dann eine Anmeldesitzung kreieren.

Was müssen Sie tun?

Um die Sicherheitslücke in Ihrer Umgebung zu schließen, gehen Sie folgendermaßen vor:
  • Führen Sie ein Upgrade auf FlexNet Manager Suite 2022 R1 durch.
    Anmerkung: Erstellen Sie vor dem Upgrade eine Kopie Ihrer aktuellen kentor.authservices-Konfiguration aus der web.config-Datei. Diese Informationen werden in einem späteren Schritt benötigt.

    Nachdem Sie das Upgrade auf FlexNet Manager Suite 2022 R1 durchgeführt haben, müssen Sie die folgenden beiden Aktionen durchführen:

  • Übernehmen Sie die kentor.authservices-Konfiguration, die in Ihrer früheren Version von FlexNet Manager Suite verwendet wurde, in den neuen Abschnitt sustainsys.saml2 der Datei web.config.
    • Attribute und Eigenschaften bleiben unverändert und es müssen keine Werte aktualisiert werden. Alles, was Sie tun müssen, ist es, eine Kopie der kentor.authservices-Konfiguration aus der Version von FlexNet Manager Suite anzufertigen, von der aus Sie das Upgrade durchführen, und diese Kopie in den neuen Abschnitt sustainsys.saml2 der Datei web.config einzufügen. Achtung: Vergewissern Sie sich, dass das Attribut „authenticationType“ im Element „signOn“ auf SAML gesetzt ist.
  • Aktualisieren Sie die SSO- (Single Sign On) und Single-Logout-URLs für den Identitätsanbieter.
    • Ändern Sie https://wapsvr/Suite/AuthServices/Logout in https://wapsvr/Suite/Saml2/Logout.
    • Ändern Sie https://wapsvr/Suite/AuthServices/Acs in https://wapsvr/Suite/Saml2/Acs.

Kunden, die SSO verwenden, können sich bei FlexNet Manager Suite 2022 R1 erst wieder anmelden, wenn sie die oben beschriebenen Schritte durchgeführt haben.

Das Upgrade auf FlexNet Manager Suite 2022 R1 ist keine Pflicht und die SSO-Authentifizierung wird für vorhandene Versionen und frische Installationen normal weiter funktionieren. Kunden mit FlexNet Manager Suite-Versionen ab 2016 R1 SP1 sind jedoch für Bedrohungen über die CVE-2020-5268-Sicherheitslücke empfänglich.

FlexNet Manager Suite(Standortgebundene Implementierung)

2023 R2