Introducción

El pasado Junio del 2011 tuvieron lugar las actualizaciones de las instancias de simpleSAMLphp de los IdPs y SPs a la versión 1.8.0. Desde entonces han sido muchas las mejoras, las nuevas funcionalidades y los bugs corregidos.

Es importante destacar una serie de fallos de seguridad que han sido corregidos desde entonces:

  • Parche contra ataques XSS (introducido en la versión 1.8.2) [r3009]
  • Parche contra ataques al cifrado PKCS 1.5 de las aserciones (introducidos en las versiones 1.9.1 y 1.9.2) [r3132]

¿Es obligatorio el uso de la última versión de simpleSAMLphp 1.10 en CONFIA?

Resumen: En IdPs es obligatorio. En SPs es MUY recomendable.

IdPs

El uso de la última versión de simpleSAMLphp para los IdPs es obligatorio en el entorno de CONFIA. Esto se debe a que los IdPs estarán conectados al SP shibboleth 2.4.3 utilizado para federar el software ILIAS y dicho software es incompatible con versiones anteriores a la 1.10 de simpleSAMLphp. (Para este curso es necesario actualizar el SP shibboleth a la 2.4.3 o posteriores debido a que las anteriores versiones tienen problemas de seguridad)

SPs

Desde CONFIA recomendamos encarecidamente que siempre se tengan las instancias de los SP actualizadas a la última versión, sin embargo, somos conscientes de que a pesar de que simpleSAMLphp funciona con versiones de php 5.2 o 5.3 no siempre ocurre lo mismo con versiones del software al que se federa y ello puede acarrearnos un trabajo extra.

Pongamos un ejemplo real de un conflicto, tenemos el siguiente entorno:

  • PHP 5.1
  • Moodle 1.9, que no es compatible con PHP 5.3
  • SimpleSAMLphp 1.5

Si queremos utilizar la ultima versión de simpleSAMLphp, la 1.10, deberemos de actualizar el php a la versión 5.2 y no a la 5.3 porque sino nos dejaría de funcionar el Moodle. Pero nos encontramos con que cuando vamos a actualizar el sistema operativo, la versión de php oficial que soporta es la 5.3 y no la 5.2. Por lo que habrá que hacer un trabajo extra para conseguir un entorno con php 5.2 en el que tanto Moodle 1.9 como simpleSAMLphp funcionen.