From e10256fe93208ef786d2e38a68a98e2548d501ee Mon Sep 17 00:00:00 2001
From: Thomas Lenz <tlenz@iaik.tugraz.at>
Date: Mon, 31 Aug 2020 10:22:11 +0200
Subject: fix SSRF bug in SAML1 parameter validator

---
 id/server/doc/handbook/config/config.html | 7 +++++++
 1 file changed, 7 insertions(+)

(limited to 'id/server/doc/handbook')
diff --git a/id/server/doc/handbook/config/config.html b/id/server/doc/handbook/config/config.html
index 9a90d1c49..62bde84bc 100644
--- a/id/server/doc/handbook/config/config.html
+++ b/id/server/doc/handbook/config/config.html
@@ -431,6 +431,13 @@ UNIX: moa.id.configuration=file:C:/Programme/apache/tomcat-8.x.x/conf/moa-id/moa
       <td><p>Hiermit kann die SSL Hostname validation f&uuml;r das abholen von PVP Metadaten deaktiviert werden. </p>
       <p><strong>Hinweis: </strong>Workaround, da der httpClient der openSAML2 Implementierung kein SNI (Server Name Indication) unterst&uuml;tzt.</p></td>
     </tr>
+    <tr>
+      <td>configuration.validate.saml1.parameter.strict</td>
+      <td>true / false</td>
+      <td><p>Aktiviert oder deaktiviert die strikte Validierung von SecurityLayer Template URLs welche via HTTP Parameter &quot;template&quot; (siehe <a href="../protocol/protocol.html#saml1_startauth">SAML1 Protokoll)</a> angegeben werden k&ouml;nnen. Wenn dieser Parameter aktiviert (<em>true</em>) sind ausschlie&szlig;lich Tempalte URLs erlaubt die entweder in <a href="#konfigurationsparameter_allgemein_sl-templates">Allgemeinen Konfiguration</a> oder in der <a href="#konfigurationsparameter_oa_bku">jeweiligen SP Konfiguration</a> konfiguriert sind. Ist die strikte Validierung deaktiviert (<em>false</em>) sind zus&auml;tzlich alle Template URLs erlaubut welche vom selben Host liegen wie die MOA-ID Instanz. </p>
+        <p>&nbsp;</p>
+      <p><strong>Defaultwert:</strong> false</p></td>
+    </tr>
     <tr>
       <td>configuration.validate.authblock.targetfriendlyname</td>
       <td>true / false</td>
-- 
cgit v1.2.3

