[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01179] 【注意喚起】Shibboleth IdPの脆弱性について(2017/10/5付アドバイザリ)



IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位

 国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Shibboleth Projectより,Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]
本脆弱性は、LDAP data connector [2] で用いられるライブラリの欠陥により、
サーバ証明書の検証に失敗し中間者攻撃を受ける可能性があります。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - Shibboleth IdP 3.3.2未満

LDAPS (idp.authn.LDAP.useSSL = true) と default JVM trust
(idp.authn.LDAP.sslConfig = jvmTrust) を利用する設定で LDAP Data
Connector を使用している場合に本脆弱性の影響を受ける可能性があります。

LDAPS を利用する場合でも attribute-resolver.xml の LDAP Data Connector
の設定で、trustFile 属性または <StartTLSTrustCredential> 要素が適切に設
定されている場合には影響はありません。

また、学認技術ガイド[3]に従って構築した標準的なIdPでは、LDAPS 及び
default JVM trust を利用する設定にはなっていないことから、本脆弱性の影
響はありません。

対策
====

下記の1.もしくは2.の対策の実施をご検討ください。
 (※ 両対策の実施がより好ましいです。)

1. 新しいバージョン 3.3.2 へアップデートしてください。

   Shibboleth IdP 3.3.2
   https://shibboleth.net/downloads/identity-provider/3.3.2/

   学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
   トに関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847

2. attribute-resolver.xml の LDAP Data Connector の設定において、
   trustFile 属性(3.2.xの場合は trustFile が使えませんので
   <StartTLSTrustCredential> 要素)でLDAPサーバのCA証明書を参照するよう
   設定してください。

参考情報
========

[1] Shibboleth Identity Provider Security Advisory [4 October 2017]
    https://shibboleth.net/community/advisories/secadv_20171004.txt
[2] https://wiki.shibboleth.net/confluence/display/IDP30/LDAPConnector
[3] 学認技術ガイド - IdP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
 電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
 学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++