Palo Alto 发布了一个安全公告以应对 PAN-OS 中一个安全断言标记语言 (SAML) 的身分认证漏洞。当受影响的系统启用SAML身分认证并停用「验证身份提供者证书」(Validate Identity Provider Certificate)选项时,未通过认证但又能够透过网络接达至受影响系统的攻击者可以使用 PAN-OS SAML 身分认证中的不当签名验证从而攻击这个漏洞。
PAN-OS 8.0已于2019年10月31日结束,在这之后也不会再提供安全更新。用户应安排为 PAN-OS 更新至支援版本,或转至其他支援的技术。
根据身分认证和保安政策的设定,攻击者可以在未经授权的情况下接达受影响系统中受保护的资源。
适用于受影响系统的软件更新已可获取。受影响系统的系统管理员应遵从产品供应商的建议,立即采取行动以降低风险。
系统管理员可联络其产品支援供应商,以取得修补程式及有关支援。
https://security.paloaltonetworks.com/CVE-2020-2021
https://www.us-cert.gov/ncas/current-activity/2020/06/29/palo-alto-releases-security-updates-pan-os
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2021