[upki-fed:01166] Re: 【注意喚起】Shibboleth IdPの脆弱性について

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

学認情報交換MLのみなさま、
西村です。

時機を逸してしまいましたが、3.3.1で修正された脆弱性に関して、
Shibboleth Wikiが問題回避のためのチェックを行う設定の方法を
公開しております。
今後同様の脆弱性があった場合の最後の砦ともなりますので、特に
凝った多要素認証設定をお使いのかたはご検討ください。
　https://wiki.shibboleth.net/confluence/display/IDP30/ContextCheckInterceptConfiguration
　の"Enforcing Authentication Policy"の項

> 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
> トに関する情報がまとまっておりますので適宜ご参照ください。
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847

こちらは随時更新しており、特定バージョン限定の問題を扱っております。
アップデートする際、および何か問題があった場合にご参照いただければと
思います。

> 2017/03/28 15:40、学認事務局　末永 <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
> 
> IdP運用ご担当者　各位
> 学認情報交換メーリングリスト参加者　各位
> 
> 　国立情報学研究所　学認事務局です。
> 平素より学認の運営にご協力を賜り，ありがとうございます。
> 
> Shibboleth Projectより，Shibboleth IdPに関する脆弱性が発表されています。[1]
> 本脆弱性は、実装上の欠陥により多要素認証を回避されてしまう可能性があります。
> 
> 影響
> ====
> 
> 本脆弱性の対象となるバージョンは次の通りです。
> 
> - Shibboleth IdP 3.3.1未満
> 
> アナウンスによれば、主に影響するのは多要素認証を提供するサードパーティ
> 実装とのことです。
> 
> Shibboleth IdP付属のものでは、可能性を否定はできないものの exploit 可
> 能な手段は発見されていないようです。
> 
> こちらに関しまして、続報がありましたら改めてご連絡いたします。
> 
> 
> 対策
> ====
> 
> 新しいバージョン 3.3.1 へアップデートしてください。
> 
> Shiboleth IdP 3.3.1
> https://shibboleth.net/downloads/identity-provider/3.3.1/
> 
> 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
> トに関する情報がまとまっておりますので適宜ご参照ください。
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847
> 
> 
> 参考情報
> ========
> 
> 詳細は以下の参考情報をご参照ください。
> 
> [1] Shibboleth Identity Provider Security Advisory [15 March 2017]
>    https://shibboleth.net/community/advisories/secadv_20170315.txt

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘