[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01197] 【注意喚起】Shibboleth SPの脆弱性について(2017/11/15付アドバイザリ)
- Subject: [upki-fed:01197] 【注意喚起】Shibboleth SPの脆弱性について(2017/11/15付アドバイザリ)
- Date: Fri, 1 Dec 2017 13:24:44 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
SP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより,Shibboleth SPに関するセキュリティアドバイザリが
公開されています。[1]
本脆弱性では、コーディングエラーにより、Dynamic MetadataProvider プラグ
インが、セキュリティチェック等を提供するフィルタの構成に失敗し、メタデー
タの置き換えなどの攻撃を受ける可能性があります。
本脆弱性のSeverityは critical となっております。[2]
下記を参考に、早急に影響をご確認いただき、該当する場合は速やかにアップ
デートを適用するなどの対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth SP 2.6.1未満
Dynamic MetadataProvider (shibboleth2.xml で <MetadataProvider> 要素に
type="Dynamic" の属性値を設定)[3]を使用している場合に本アドバイザリの影
響を受ける可能性があります。
なお、学認技術ガイド[4]に従って構築した標準的なSPでは、Dynamic
MetadataProvider を使用する設定はしていないことから、本脆弱性の影響はあ
りません。
対策
====
新しいバージョン 2.6.1 へアップデートしてください。
- Shibboleth SP 2.6.1
https://shibboleth.net/downloads/service-provider/2.6.1/
なお、初期パッケージにメタデータダウンロードの不具合が発生したため、さ
らにアップデートが行われております。今回のアップデートでlibxmltooling7
のバージョン1.6.1がインストールされている場合は、1.6.2-3.1に更新してか
らお使いください。
参考情報
========
[1] Shibboleth Service Provider Security Advisory [15 November 2017]
https://shibboleth.net/community/advisories/secadv_20171115.txt
[2]
https://wiki.shibboleth.net/confluence/display/SHIB2/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3]
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataProvider#NativeSPMetadataProvider-DynamicMetadataProvider
[4] 学認技術ガイド - SP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++