simplesamlphpの脆弱性(High: CVE-2025-27773)

03/13/2025にsimplesamlphpの脆弱性(High: CVE-2025-27773)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

CVSS/プライオリティ

• CVE-2025-27773
  • 影響するバージョン
    • hoge
    • simplesamlphp/saml2 (Composer) <=v4.16.15, <=v5.0.0-alpha.19
    • simplesamlphp/saml2-legacy (Composer) <=v4.16.15
    • hoge
  • Priority
    • Vendor: 8.6(HIGH)
    • Red Hat:
  • CVSS Score / CVSS Vector
    • Vendor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
    • Red Hat:

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://www.cve.org/CVERecord?id=CVE-2025-27773
  • SimpleSAMLphp SAML2 libraryのHTTP-Redirect bindingに対する正しくないシグネチャ確認
  • HTTP-Redirect bindingに対するシグネチャ混乱攻撃(signature confusion attack)が見つかりました。攻撃者は署名されたSAML ResponseをHTTP-Redirect bindingに用いることにより、アプリケーションに署名されていないメッセージを許可させることが可能です。

悪用

攻撃者がIdPからの署名済みHTTP-Redirect binding、つまり署名済みログアウト応答を持っているとします。

SAMLResponse=idpsigned&RelayState=...&SigAlg=...&Signature

次に、攻撃者は先頭に SAMLRequest を追加できます。

SAMLRequest=unverifieddata&SAMLResponse=idpsigned&RelayState=...&SigAlg=...&Signature=..

SimpleSAMLPhpはSAMLResponseのみを検証しますが、実際にはSAMLRequestの内容を使用します。SAMLRequestに実際にリクエストが含まれているかどうかのチェックが行われないため、攻撃者はSP内の任意のユーザーになりすますことができます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2025-27773
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2025-27773
• Ubuntu
  • https://ubuntu.com/security/CVE-2025-27773
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2025-27773.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• Incorrect signature verification for HTTP-Redirect binding