Utilisation du SHA-1 avec SAML (4.2.1 -> 4.3.13)

Sévérité

moyen

Produit affecté

De la version 4.2.1 à la version 4.3.13.

Description

La configuration SAML de Carto-SI utilise le SHA-1 pour signer les requêtes d’identification. Le SHA-1 n’est plus considéré comme sécurisé. Un attaquant peut envoyer de fausses demandes d’identification au SSO.

Solution

Mise à jour du logiciel Carto-SI à la version 4.3.14 ou supérieure.

Historique

  • 10/08/2022 : découverte de la vulnérabilité et mise à disposition du correctif.