[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00460] OpenSSL脆弱性のShibboleth SPへの影響について
- Subject: [upki-fed:00460] OpenSSL脆弱性のShibboleth SPへの影響について
- Date: Thu, 17 May 2012 02:42:32 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
Shibboleth SPをご利用のみなさま
西村です。
先日公開されたOpenSSLのASN1 BIOの脆弱性(CVE-2012-2110, CVE-2012-2131)が、
これを利用しているShibboleth SPにも影響を与える可能性があります。
みなさまにおかれましては、OS/ディストリビューションに応じて、インストールされて
いるOpenSSLを脆弱性対応済みのものへアップデートしていただけますようよろしく
お願いいたします。
- Red Hat Enterprise Linux / CentOS / Scientific Linux
https://rhn.redhat.com/errata/RHSA-2012-0518.html
(上記はCVE-2012-2110対応のものですが、以下の情報によればCVE-2012-2131の
影響は受けません。
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-2131 )
- Ubuntu
http://www.ubuntu.com/usn/usn-1428-1/
- Windows
脆弱性修正済みのOpenSSLを含むShibboleth SPが公開されています。
> List: xxxxxxxx@xxxxxxxxxxxxxx
> Subject: Shibboleth Service Provider Security Advisory [19 April 2012]
> From: "Cantor, Scott" <xxxxxxxx@xxxxxxx>
> Shibboleth Service Provider Security Advisory [19 April 2012]
>
> The OpenSSL team disclosed and patched a security issue in
> functions that the Shibboleth Service Provider, and some
> related libraries, depend on for key and certificate processing.
>
> We do not have specific knowledge of a vulnerability, but since
> we believe this issue could in theory create a problem, we are
> highlighting this issue in an advisory of our own, and have
> updated the OpenSSL version we provide for Microsoft Windows.
>
> The OpenSSL advisory was assigned CVE-2012-2110 can be found at
> http://www.openssl.org/news/secadv_20120419.txt
>
> Remediation
> ===========
> Updated Windows installer and postinstall ZIP files for V2.4.3
> have been posted that replace the OpenSSL libraries included
> with OpenSSL V1.0.0i.
>
> The following files (and their debug siblings) are affected:
>
> \opt\shibboleth\bin\openssl.exe
> \opt\shibboleth\lib\libeay32_1_0_0.dll
> \opt\shibboleth\lib\ssleay32_1_0_0.dll
>
> Deployers using other platforms should refer to their OpenSSL
> technology provider for an update.
>
> URL for this Security Advisory:
> http://shibboleth.internet2.edu/secadv/secadv_20120419.txt
--
西村健
国立情報学研究所 TEL:03-4212-2890
# 4月から内線番号が変わりました