[upki-fed:01197] 【注意喚起】Shibboleth SPの脆弱性について(2017/11/15付アドバイザリ)

[国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>]

SP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Shibboleth Projectより，Shibboleth SPに関するセキュリティアドバイザリが
公開されています。[1]

本脆弱性では、コーディングエラーにより、Dynamic MetadataProvider プラグ
インが、セキュリティチェック等を提供するフィルタの構成に失敗し、メタデー
タの置き換えなどの攻撃を受ける可能性があります。

本脆弱性のSeverityは critical となっております。[2]
下記を参考に、早急に影響をご確認いただき、該当する場合は速やかにアップ
デートを適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - Shibboleth SP 2.6.1未満

Dynamic MetadataProvider (shibboleth2.xml で <MetadataProvider> 要素に
type="Dynamic" の属性値を設定)[3]を使用している場合に本アドバイザリの影
響を受ける可能性があります。

なお、学認技術ガイド[4]に従って構築した標準的なSPでは、Dynamic
MetadataProvider を使用する設定はしていないことから、本脆弱性の影響はあ
りません。

対策
====

新しいバージョン 2.6.1 へアップデートしてください。

  - Shibboleth SP 2.6.1
    https://shibboleth.net/downloads/service-provider/2.6.1/

なお、初期パッケージにメタデータダウンロードの不具合が発生したため、さ
らにアップデートが行われております。今回のアップデートでlibxmltooling7
のバージョン1.6.1がインストールされている場合は、1.6.2-3.1に更新してか
らお使いください。

参考情報
========

[1] Shibboleth Service Provider Security Advisory [15 November 2017]
    https://shibboleth.net/community/advisories/secadv_20171115.txt
[2] 
https://wiki.shibboleth.net/confluence/display/SHIB2/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPMetadataProvider#NativeSPMetadataProvider-DynamicMetadataProvider
[4] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++