[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01305] 【注意喚起】Shibboleth IdPの脆弱性について(2019/9/18付アドバイザリ)
- Subject: [upki-fed:01305] 【注意喚起】Shibboleth IdPの脆弱性について(2019/9/18付アドバイザリ)
- Date: Tue, 24 Sep 2019 18:01:19 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより、Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]
本アドバイザリによると、Shibboleth IdPの脆弱性により、persistent形式の
NameID(persistent-id(*))を含む認証応答において、意図したものとは異なる
SPに対するpersistent-idが公開される可能性があり、情報開示のリスクが
あります。
(*) persistent-idについての設定方法等詳細は[2]をご参照ください。一般
的に同じ値を生成・送信するeduPersonTargetedIDは対象外です。
加えて、Shibboleth IdPバージョン2時代から運用していて当時の書式を
用いている場合は、attribute-resolver.xmlにSAML2StringNameIDの
AttributeEncoderでpersistentなnameFormatのものがある場合に本脆弱
性の可能性があります。
本脆弱性のSeverityは moderate となっております。[3]
下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V3.0.0 ~ V3.4.4
対策
====
Shibboleth IdPを最新のバージョンV3.4.5へアップデートしてください。
学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデート
に関する情報がまとまっておりますので適宜ご参照ください。
-
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847
緩和策として、SPメタデータに含まれる<md:NameIDFormat>要素(**)や、IdPの
relying-party.xmlファイル中のnameIDFormatPrecedenceの設定等を再確認し、
IdPがpersistent-idをアプリオリに返しているSPがある場合は、その見直しを
行ってください。
(**) なお、現時点の学認メタデータでは<md:NameIDFormat>要素に
persistentを宣言しているのはRefWorksのみです。(ただし、eduGAINに
参加している場合はこの限りではありませんし、独自に連携している
SPがある場合はそれについてもご確認ください。)
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20190918.txt
[2]
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21434154
[3] https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAdvisories
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++