[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01224] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/8/3付アドバイザリ)
- Subject: [upki-fed:01224] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/8/3付アドバイザリ)
- Date: Fri, 10 Aug 2018 10:04:30 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
SP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより,Shibboleth SPに関連するセキュリティアドバイザリ
が公開されています。[1]
本アドバイザリによると、Apache Santuario XML Security for C++ ライブラ
リ (xml-security-c) の脆弱性で、DoS攻撃の可能性があります。
本脆弱性のSeverityは high となっております。[2]
下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- libxml-security-c 2.0.1未満[2]
学認技術ガイド[3]に従ってSPを構築した場合、いずれの場合も本脆弱性の影響
を受けます。
対策
====
xml-security-c ライブラリのパッケージを最新のバージョン V2.0.1 へアップ
デートしてください。
- libxml-security-c20-2.0.1-3.1.x86_64
※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があり
ますので、その場合は手動で再起動してください。
なお、Shibboleth SP V2はxml-security-c V1.7.xを利用しており、
xml-security-c V2.0.Xとは互換性がないため、SP V2をご利用の場合は、本脆
弱性の修正のためにはSP V3へのアップグレードが必要となります。
学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。
SPv3アップデートに関する情報
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20180803.txt
[2]
https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 学認技術ガイド - SP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++