Loading…
Tilbage

oiosaml.java 21204


Security release.

A vulnerability in OpenSAML has been fixed in OpenSAML 2.6.1, and OIOSAML.Java now builds against this specific version.

Details about the security issue can be found here

https://shibboleth.net/community/advisories/secadv_20131213.txt

This version does not contain any functional changes, only an update of external library dependencies.

 

UPDATE 14.02.2017: The libraries.zip file with all the dependencies in an easy-to-download bundle has been updated to contain OpenSAML 2.6.1 instead of 2.6.4 which was accidently added to the zip file.

Filer og referencer

Titel Type
oiosaml.java-21204.zip application/octet-stream
libraries.zip application/octet-stream
Profilbillede

Problemer i opensaml-2.6.4.jar

Peter Sone Koldkjær

Hejsa

Efter opdatering af OpenSAML til opensaml-2.6.4.jar, så oplever jeg en fejl:

java.lang.NoClassDefFoundError: org/opensaml/xml/security/x509/tls/StrictHostnameVerifier
    at org.opensaml.DefaultBootstrap.initializeHttpClient(DefaultBootstrap.java:118)
    at org.opensaml.DefaultBootstrap.bootstrap(DefaultBootstrap.java:110)

bootstrap() metoden har fået tilføjet et kald til initializeHttpClient();

protected static void initializeHttpClient() {
if(!Boolean.getBoolean("org.opensaml.httpclient.https.disableHostnameVerification")) {
TLSProtocolSocketFactory socketFactory = new TLSProtocolSocketFactory((X509KeyManager)null, (X509TrustManager)null, new StrictHostnameVerifier());
Protocol.registerProtocol("https", new Protocol("https", socketFactory, 443));
}
}

Klassen org/opensaml/xml/security/x509/tls/StrictHostnameVerifier kan jeg ikke finde i opensaml-2.6.4.jar eller i xmltooling-1.4.1.jar

Det ser dog ud til at fejlen er rettet i xmltooling-1.4.6.jar

Mvh.
Peter Sone Koldkjær, mySupply ApS
Konsulent for Digitaliseringsstyrelsen

Hej Peter.

Tak for feedback. Vi lavede den mindste mulige opdatering til oiosaml for at rette den nævnte sikkerhedsfejl, hvilket betød at vi opgradere til OpenSAML 2.6.1.

Det kan sagtens give god mening at lave en gennemgående opdatering af de afhængigheder der ligger i oiosaml, så de frameworks der anvendes kan komme op på nyere versioner, og her vil det give god mening at kigge på OpenSAML 2.6.4 også. Dit input omkring xmltooling vil være yderst behjælpelig omkring dette.

Lige nu og her anvender oiosaml dog OpenSAML 2.6.1. Har du et bestemt scenarie hvor 2.6.4 er nødvendig?

Hej Brian

opensaml-2.6.4.jar er den version som ligger i libraries.zip her på siden...

/Peter

Ah - det er en smutter, jeg sørger for at rette den til 2.6.1, da det er den version som kildekoden bygges mod.

Jeg smider en ny libraries.zip op med det samme og en kommentar om at den er opdateret