[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01202] Re: 【注意喚起】Shibboleth SP脆弱性について(2018/1/12付アドバイザリ)



SP管理者のみなさま
NIIの西村です。

これに関連しまして
SPアップデートに関する情報
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753
で提供しておりました情報に一部誤りがありましたのでこの場を借りて訂正
させていただきます。

2.6.0およびそれ以降で加わった新機能としてXERCES_DISABLE_DTD環境変数でDTD処
理を無効化できることをご紹介し、設定手順を掲載しておりましたが、この説明が
不正確でした。

標準的なCentOS 6の環境では、2.6.0以降をお使いであれば設定手順の実施有無にか
かわらずDTD処理は無効化されます。

一方、標準的なCentOS 7の環境では、Xerces-Cライブラリのバージョンが古いた
め、2.6.0以降をお使いでも設定手順の実施有無にかかわらずDTD処理は無効化
*されません*。
つまり、XERCES_DISABLE_DTD=1の設定がされているからと安心できませんので、
今回のようなDTDに関わる脆弱性についても(に限らずですが)常に最新版に
アップデートするように心掛けてください。

いずれにしましてもXERCES_DISABLE_DTD=1の設定手順は効果ありませんので、
関連設定ファイルを元に戻していただいて大丈夫です。

本件に関して上記ウェブページはすでに更新してあります。
不正確な情報を提供していたことをお詫びします。

On 2018/01/16 10:10, 国立情報学研究所 学認事務局 wrote:
SP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位

 国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Shibboleth Projectより,Shibboleth SPに関するセキュリティアドバイザリが
公開されています。[1]

本アドバイザリによると、Shibboleth SPで用いられるXMLパーサライブラリ
XMLTooling-C の脆弱性により、DTD(Document Type Definition)処理が有効な
場合に、偽装攻撃や保護情報の公開の可能性があります。

本脆弱性のSeverityは critical となっております。[2]
下記を参考に、早急に影響をご確認いただき、該当する場合は速やかにアップ
デートを適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

   - Xerces-C 3.1.4未満 かつ XMLTooling-C 1.6.3未満[2]

学認技術ガイド[3]に従ってSPを構築した場合、OSはCentOS 6系または7系とな
ります。

   (CentOS 6系の場合)
   Shibboleth SP 2.6.0以降であればデフォルトでDTDの使用を無効にする設定
   が入っているため、影響を受けません。ただし、Shibboleth SP 2.6.0未満の
   場合には影響を受けます。

   (CentOS 7系の場合)
   CentOS 7系では、Xerces-C はディストリビューションが提供する古いパッケー
   ジ(xerces-c 3.1.1)を利用するため、無条件で影響を受けます。

対策
====

XMLTooling-C 関連パッケージを新しいバージョン 1.6.3 へアップデートして
ください。

   - libxmltooling7-1.6.3-3.1.x86_64
   - xmltooling-schemas-1.6.3-3.1.x86_64

   ※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があり
      ますので、その場合は手動で再起動してください。

学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753

参考情報
========

[1] Shibboleth Service Provider Security Advisory [12 January 2018]
     https://shibboleth.net/community/advisories/secadv_20180112.txt
[2] https://wiki.shibboleth.net/confluence/display/SHIB2/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 学認技術ガイド - SP
     https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP

--
西村健
国立情報学研究所 TEL:03-4212-2890