[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01159] 【注意喚起】Shibboleth IdPの脆弱性について(5/18付アドバイザリ)
- Subject: [upki-fed:01159] 【注意喚起】Shibboleth IdPの脆弱性について(5/18付アドバイザリ)
- Date: Tue, 23 May 2017 14:59:44 +0900
- From: 学認事務局 末永 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより、Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]
影響
====
アサーションを不正に取得される可能性があります。
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP 全バージョン
アナウンスによれば、Shibboleth IdPの認証手段としてKerberos認証を使用し
ている場合に影響を受ける可能性があります。Kerberos認証を使用していない
場合には影響はありません。
学認技術ガイド[2]に従って構築した標準的なIdPでは、認証手段としてLDAP認
証を使用していますので、本アドバイザリの影響はありません。
対策
====
Shibboleth IdPの認証手段としてKerberos認証を使用している場合には、
Kerberosの設定ファイル(krb5.conf)の[libdefaults]セクションに以下の設定
を追加してください。
dns_lookup_kdc = false
もし、dns_lookup_kdcをtrueで運用する必要がある場合には、[1]のアドバイ
ザリを参照いただき適切な対応を行ってください。
参考情報
========
詳細は以下の参考情報をご参照ください。
[1] Shibboleth Identity Provider Security Advisory [18 May 2017]
https://shibboleth.net/community/advisories/secadv_20170518.txt
[2] 学認技術ガイド - IdP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
電話番号 03-4212-2353
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++