[upki-fed:01203] 【注意喚起】Shibboleth関連の脆弱性について(2018/1/23付アドバイザリ)

[国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>]

IdP運用ご担当者　各位
SP運用ご担当者　 各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

　Shibboleth Projectより，Shibboleth IdP/SPに関連するセキュリティ
アドバイザリが公開されています。[1]

　本アドバイザリは、Shibbolethそのものの脆弱性ではなく、昨年末に
報告されたTLSの実装に関する脆弱性「ROBOT」[2]についてのものです。

影響
====

本脆弱性の影響の有無は、IdP/SPのホストに使用されているTLSソフトウェアの
実装によります。各ベンダ及びソフトウェアの実装に対する影響の詳細は
「ROBOT」脆弱性に関するサイト[2]をご参照ください。

最も深刻な影響を受けるのは、「ROBOT」に対して脆弱なWebサイト上で使用さ
れているTLS秘密鍵に対応する証明書(公開鍵)を、メタデータの
<IDPSSODescriptor>要素内の<KeyDescriptor>要素にuse属性を"signing"または
何も指定せずに記載した場合です。
この場合、最も重大な脅威となるのは、IdPからの認証応答の偽造です。

学認技術ガイドに従って構築したIdPでは、サーバ証明書として1つのものを使っ
ているため、443番ポートおよび8443番ポートで使用しているTLSソフトウェア
が脆弱なものである場合には対応が必要となります。

対策
====

「ROBOT」脆弱性に関するサイト[2]等を参考に、各自のTLSソフトウェアが脆弱
なものでないかを確認し、該当する場合は即時のアップデート及び、鍵の危殆
化対応として、サーバ証明書の再発行・入れ替え、併せて学認申請システムで
の変更申請、旧証明書の失効等、必要な対処を行ってください。

また、下記の予防策もご検討ください。

1. メタデータにどの証明書(公開鍵)が登録されているか、また、それらがTLS
   で使われているかどうかを今一度確認し、不要なものは削除してください。
   学認申請システムからの証明書更新申請において、新旧証明書を併記したま
   ま長期間放置していないか確認し、必要があれば不要な証明書を削除してく
   ださい。

2. TLSソフトウェアについては、常に最新の動向に注視し、パッチの適用や適
   切な保守及び構成がなされていることを確認してください。

学認の対応
==========

近日中に各参加機関IdPの443/8443ポートに対し、脆弱性チェックのための
アクセスを行う予定です。予めご了承ください。


参考情報
========

[1] Shibboleth Security Advisory [23 January 2018]
    https://shibboleth.net/community/advisories/secadv_20180123.txt
[2] https://robotattack.org/

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++