[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01203] 【注意喚起】Shibboleth関連の脆弱性について(2018/1/23付アドバイザリ)
- Subject: [upki-fed:01203] 【注意喚起】Shibboleth関連の脆弱性について(2018/1/23付アドバイザリ)
- Date: Thu, 1 Feb 2018 11:16:21 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用ご担当者 各位
SP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより,Shibboleth IdP/SPに関連するセキュリティ
アドバイザリが公開されています。[1]
本アドバイザリは、Shibbolethそのものの脆弱性ではなく、昨年末に
報告されたTLSの実装に関する脆弱性「ROBOT」[2]についてのものです。
影響
====
本脆弱性の影響の有無は、IdP/SPのホストに使用されているTLSソフトウェアの
実装によります。各ベンダ及びソフトウェアの実装に対する影響の詳細は
「ROBOT」脆弱性に関するサイト[2]をご参照ください。
最も深刻な影響を受けるのは、「ROBOT」に対して脆弱なWebサイト上で使用さ
れているTLS秘密鍵に対応する証明書(公開鍵)を、メタデータの
<IDPSSODescriptor>要素内の<KeyDescriptor>要素にuse属性を"signing"または
何も指定せずに記載した場合です。
この場合、最も重大な脅威となるのは、IdPからの認証応答の偽造です。
学認技術ガイドに従って構築したIdPでは、サーバ証明書として1つのものを使っ
ているため、443番ポートおよび8443番ポートで使用しているTLSソフトウェア
が脆弱なものである場合には対応が必要となります。
対策
====
「ROBOT」脆弱性に関するサイト[2]等を参考に、各自のTLSソフトウェアが脆弱
なものでないかを確認し、該当する場合は即時のアップデート及び、鍵の危殆
化対応として、サーバ証明書の再発行・入れ替え、併せて学認申請システムで
の変更申請、旧証明書の失効等、必要な対処を行ってください。
また、下記の予防策もご検討ください。
1. メタデータにどの証明書(公開鍵)が登録されているか、また、それらがTLS
で使われているかどうかを今一度確認し、不要なものは削除してください。
学認申請システムからの証明書更新申請において、新旧証明書を併記したま
ま長期間放置していないか確認し、必要があれば不要な証明書を削除してく
ださい。
2. TLSソフトウェアについては、常に最新の動向に注視し、パッチの適用や適
切な保守及び構成がなされていることを確認してください。
学認の対応
==========
近日中に各参加機関IdPの443/8443ポートに対し、脆弱性チェックのための
アクセスを行う予定です。予めご了承ください。
参考情報
========
[1] Shibboleth Security Advisory [23 January 2018]
https://shibboleth.net/community/advisories/secadv_20180123.txt
[2] https://robotattack.org/
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++