[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00460] OpenSSL脆弱性のShibboleth SPへの影響について



Shibboleth SPをご利用のみなさま
西村です。

先日公開されたOpenSSLのASN1 BIOの脆弱性(CVE-2012-2110, CVE-2012-2131)が、
これを利用しているShibboleth SPにも影響を与える可能性があります。
みなさまにおかれましては、OS/ディストリビューションに応じて、インストールされて
いるOpenSSLを脆弱性対応済みのものへアップデートしていただけますようよろしく
お願いいたします。

- Red Hat Enterprise Linux / CentOS / Scientific Linux
  https://rhn.redhat.com/errata/RHSA-2012-0518.html
  (上記はCVE-2012-2110対応のものですが、以下の情報によればCVE-2012-2131の
  影響は受けません。
  https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-2131 )  

- Ubuntu
  http://www.ubuntu.com/usn/usn-1428-1/

- Windows
  脆弱性修正済みのOpenSSLを含むShibboleth SPが公開されています。


> List:       xxxxxxxx@xxxxxxxxxxxxxx
> Subject:    Shibboleth Service Provider Security Advisory [19 April 2012]
> From:       "Cantor, Scott" <xxxxxxxx@xxxxxxx>

> Shibboleth Service Provider Security Advisory [19 April 2012]
> 
> The OpenSSL team disclosed and patched a security issue in
> functions that the Shibboleth Service Provider, and some
> related libraries, depend on for key and certificate processing.
> 
> We do not have specific knowledge of a vulnerability, but since
> we believe this issue could in theory create a problem, we are
> highlighting this issue in an advisory of our own, and have
> updated the OpenSSL version we provide for Microsoft Windows.
> 
> The OpenSSL advisory was assigned CVE-2012-2110 can be found at
> http://www.openssl.org/news/secadv_20120419.txt
> 
> Remediation
> ===========
> Updated Windows installer and postinstall ZIP files for V2.4.3
> have been posted that replace the OpenSSL libraries included
> with OpenSSL V1.0.0i.
> 
> The following files (and their debug siblings) are affected:
> 
> \opt\shibboleth\bin\openssl.exe
> \opt\shibboleth\lib\libeay32_1_0_0.dll
> \opt\shibboleth\lib\ssleay32_1_0_0.dll
> 
> Deployers using other platforms should refer to their OpenSSL
> technology provider for an update.
> 
> URL for this Security Advisory:
> http://shibboleth.internet2.edu/secadv/secadv_20120419.txt

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
# 4月から内線番号が変わりました