[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01245] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/12/19付アドバイザリ)

Subject: [upki-fed:01245] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/12/19付アドバイザリ)
Date: Fri, 21 Dec 2018 14:25:55 +0900
From: 国立情報学研究所　学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>

SP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Shibboleth Projectより，Shibboleth SPに関連するセキュリティアドバイザリ
が公開されています。[1]

本アドバイザリによると、SAMLメッセージ、アサーション、メタデータにおけ
る日時情報の取り扱いに問題があり、不正な形式の日時情報を処理するとサー
ビス(※)が停止してしまう可能性があります。

※ 通常はshibdデーモンがクラッシュしますが、ごく稀にhttpdデーモンがク
   ラッシュする可能性があります。

本脆弱性のSeverityは moderate となっております。[2]

下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。


影響
====

本脆弱性の対象となるバージョンは次の通りです。

- Shibboleth SP V3.0.3未満 (V3.0.3は含まれません)

※ 学認技術ガイド[3]に従ってSPを構築した場合も本脆弱性の影響を受けます。


対策
====

Shibboleth SPを最新のバージョンV3.0.3へアップデートしてください。

- shibboleth-3.0.3-1.1.x86_64

※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があり
   ますので、その場合は手動で再起動してください。


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20181219a.txt

[2]https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList

[3] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Prev by Date: [upki-fed:01244] 第17回研究教育のためのクラウド利活用セミナーのご案内
Next by Date: [upki-fed:01246] 【注意喚起】Shibboleth IdP関連の脆弱性について(2018/12/19付アドバイザリ)
Previous by thread: [upki-fed:01244] 第17回研究教育のためのクラウド利活用セミナーのご案内
Next by thread: [upki-fed:01246] 【注意喚起】Shibboleth IdP関連の脆弱性について(2018/12/19付アドバイザリ)
Index(es):
- Date
- Thread