[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01163] 【注意喚起】CentOS5でのSAML1 SP接続障害

Subject: [upki-fed:01163] 【注意喚起】CentOS5でのSAML1 SP接続障害
Date: Mon, 12 Jun 2017 10:08:30 +0900
From: 学認事務局　末永 <xxxxxxxxxxxxxx@xxxxxxxxx>

IdP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

2017年3月にEOLとなったCentOS 5で構築されたIdPにおいて、下記の条件下
でSAML1 SPに属性が送信できない不具合があることがわかりました。
CentOS 6以降で構築したIdPに移行されることを、お勧めいたします。

1. Shibboleth IdPのJavaに、CentOS 5での最終版である下記バージョンを
   利用している。
   java-1.7.0-openjdk-1.7.0.131-2.6.9.0.el5_11

2. IdPに接続するSAML1 SPが、EC系の暗号スイートを含む暗号スイートリス
   トでSSL接続を行う。
   例: https://attrviewer13.gakunin.nii.ac.jp/

CentOS 6以降でjava.securityを下記の行をコメントアウトしている場合も
同じ不具合がありますが、java-1.7.0-openjdk-1.7.0.141以降で修正されて
います。

  security.provider.3=sun.security.ec.SunEC
  ※ 数字の3は、環境によって異なる場合があります。


上記の不具合に該当した場合、Tomcatのcatalina.outに下記の2種類のログ
が記載されます。

* 起動後1回目のエラー
  org.apache.tomcat.util.net.NioEndpoint$SocketProcessor doRun
  SEVERE:
  java.lang.ExceptionInInitializerError
        at sun.security.ssl.HelloExtensions.<init>(HelloExtensions.java:85)

atsun.security.ssl.HandshakeMessage$ClientHello.<init>(HandshakeMessage.java:240)atsun.security.ssl.ServerHandshaker.processMessage(ServerHandshaker.java:219)

        at sun.security.ssl.Handshaker.processLoop(Handshaker.java:961)
        at sun.security.ssl.Handshaker$1.run(Handshaker.java:901)
        at sun.security.ssl.Handshaker$1.run(Handshaker.java:899)
        at java.security.AccessController.doPrivileged(Native Method)

atsun.security.ssl.Handshaker$DelegatedTask.run(Handshaker.java:1333)atorg.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:300)atorg.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:358)atorg.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:209)atorg.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1732)atorg.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1715)atjava.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)atjava.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)atorg.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)

        at java.lang.Thread.run(Thread.java:745)

Caused by: java.lang.IllegalArgumentException: System propertyjdk.tls.namedGroups(null) contains no supported elliptic curvesatsun.security.ssl.SupportedEllipticCurvesExtension.<clinit>(SupportedEllipticCurvesExtension.java:154)

        ... 17 more

* 2回目以降のエラー
  org.apache.tomcat.util.net.NioEndpoint$SocketProcessor doRun
  SEVERE:

java.lang.NoClassDefFoundError: Could not initialize classsun.security.ssl.SupportedEllipticCurvesExtension

        at sun.security.ssl.HelloExtensions.<init>(HelloExtensions.java:85)

atsun.security.ssl.HandshakeMessage$ClientHello.<init>(HandshakeMessage.java:240)atsun.security.ssl.ServerHandshaker.processMessage(ServerHandshaker.java:219)

        at sun.security.ssl.Handshaker.processLoop(Handshaker.java:961)
        at sun.security.ssl.Handshaker$1.run(Handshaker.java:901)
        at sun.security.ssl.Handshaker$1.run(Handshaker.java:899)
        at java.security.AccessController.doPrivileged(Native Method)

        at java.lang.Thread.run(Thread.java:745)
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
　電話番号　　　 03-4212-2353
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Prev by Date: [upki-fed:01162] 【注意喚起】Apache Tomcatの脆弱性について(6/7付アドバイザリ)
Next by Date: [upki-fed:01164] 【学認】新規IdP/SP参加のお知らせ（5月参加）
Previous by thread: [upki-fed:01162] 【注意喚起】Apache Tomcatの脆弱性について(6/7付アドバイザリ)
Next by thread: [upki-fed:01164] 【学認】新規IdP/SP参加のお知らせ（5月参加）
Index(es):
- Date
- Thread