[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01214] 【注意喚起】Shibboleth IdPの脆弱性について(2018/5/16付アドバイザり)

IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位

 国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Shibboleth Projectより、Shibboleth IdPに関する脆弱性情報とShibboleth
IdP 3.3.3のリリースがアナウンスされています。[1]

CASプロトコルの実装上の問題
===========================

CASプロトコルの実装に問題があり、情報漏洩やなりすましのリスクがありま
す。

学認技術ガイド[2]に従って構築した標準的なIdPでは、CASは使用しませんの
で影響はありません。

CASを使用している場合にはconf/cas-protocol.xmlにSimpleTicketServiceが
設定されていないか確認してください。[3]
SimpleTicketServiceが設定されている場合には本脆弱性の影響を受けますので
以下のいずれかの対策を講じてください。

1. Shibboleth IdP 3.3.3にアップデートする
2. SimpleTicketServiceをEncodingTicketServiceに切り替える[3]

学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
トに関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847


Spring Frameworkの問題(CVE-2018-1271)[4] ※ Windows版のみ
=========================================================

Windows版のShibboleth IdPをご利用の場合にはSpring Frameworkの問題
(CVE-2018-1271)[4]に対処するため、Shibboleth IdP 3.3.3にアップデートし
てください。


参考情報
========

[1] Shibboleth Identity Provider Security Advisory [16 May 2018]
    https://shibboleth.net/community/advisories/secadv_20180516.txt

[2] 学認技術ガイド - IdP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP

[3] CasProtocolConfiguration

https://wiki.shibboleth.net/confluence/display/IDP30/CasProtocolConfiguration

[4] CVE-2018-1271: Directory Traversal with Spring MVC on Windows
    https://pivotal.io/security/cve-2018-1271
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
 電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
 学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++