Shibboleth IdPの脆弱性について (2014/11/3)

2014-12-05 12:00 by 福嶋

Shibboleth ProjectよりShibboleth IdPに関する脆弱性情報が発表されています。

本脆弱性では,Xerces-J XML Parser の不具合(CVE-2013-4002)により,DoS攻撃を受ける可能性が指摘されています。

 

2014/11/3に公開されたShibboleth IdP 2.4.3より前のバージョンをご利用の場合に本脆弱性の影響を受けますので,速やかなアップデートをおすすめいたします。

 

 

バージョン2.4.3へのアップデートでは,通常のアップデート手順に加えて追加作業が必要です。
以下に,学認技術ガイド[2]通りに構築されたShibboleth IdP 2.4.0を,2.4.3にアップデートする場合の手順を記載しますので,参考にしてください。

 

事情によりすぐにアップデートが困難な場合,Shibboleth IdP 2.4.0およびそれ以降のバージョンについては対応について脆弱性情報[1]に説明がありますので,そちらを参考にしてください。


 

------------------------------------------------------------
Shibboleth IdPアップデート手順(2.4.0 → 2.4.3)

 

  1. JDKが本脆弱性について対策されたバージョンであることを確認します。
    対策されていない古いバージョンのJDKをご使用の場合は新しいバージョンにアップデートしてください。

    OpenJDKでは,以下に示すバージョンおよびそれ以降のバージョンが対策されたバージョンです。[3][4][5][6]

     OpenJDK 7の場合:
      CentOS 5系: java-1.7.0-openjdk-1.7.0.45-2.4.3.1.el5_10
      CentOS 6系: java-1.7.0-openjdk-1.7.0.45-2.4.3.2.el6_4

     OpenJDK 6の場合:
      CentOS 5系: java-1.6.0-openjdk-1.6.0.0-1.42.1.11.14.el5_10
      CentOS 6系: java-1.6.0-openjdk-1.6.0.0-1.65.1.11.14.el6_4

    OracleのJDKでは,以下に示すバージョンおよびそれ以降のバージョンが対策されたバージョンです。[7][8][9]

    JDK 6の場合: 6u65
    JDK 7の場合: 7u45
     
  2. 通常の手順でShibboleth IdPをバージョン2.4.3にアップデートします。
    Shibboleth IdPのアップデート手順は下記のURLをご参照ください。
    https://wiki.shibboleth.net/confluence/display/SHIB2/IdP2Upgrade
     
  3. Xerces/Xalanライブラリをunendorseします。
    endorsedディレクトリ配下のライブラリが不要になります。
    CATALINA_HOME(*1)配下のendorsedディレクトリを削除してください。
    (*1) CentOS標準パッケージのtomcat6場合: /usr/share/tomcat6
     
  4. /opt/shibboleth-idp/conf/internal.xmlを修正します。
    class="org.apache.xerces.util.SecurityManager
    となっている箇所を
    class="com.sun.org.apache.xerces.internal.util.SecurityManager"
    に修正してください。
     
  5. /usr/java/tomcat/conf/server.xmlを修正します。
    全てのConnector要素にmaxPostSize="100000"を追加してください。
    技術ガイドに従って設定している場合は「Connector port="8443"」と「Connector port="8009"」の2箇所が該当します。
    それぞれ以下の通り修正してください。
    ※ 「+」は行の追加,「-」の行の削除を表しています。

    [Connector port="8443"]
    <Connector port="8443"
               :
                      scheme="https"
      +               maxPostSize="100000"
                      SSLEnabled="true"
                      keystorePass="xxxxx" />

    [Connector port="8009"]
      -    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
      +    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
    maxPostSize="100000"

     
  6. tomcatを再起動します。

以上
------------------------------------------------------------


 

参考情報 :

 

 本件に関する連絡先
 ===============================================
 国立情報学研究所 学認事務局
 TEL:03-4212-2218
 
 ===============================================