[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01308] 【注意喚起】Shibboleth IdPの脆弱性について(2019/10/2付アドバイザリ)

IdP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Shibboleth Projectより、Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]

Shibboleth IdPはExternal, RemoteUser, X509, SPNEGOのような多くのログ
インフローをサポートしています。
これらのログインフローには、リモートから認証を必要としないDoS攻撃を
受ける脆弱性が存在します。

本脆弱性のSeverityは Low となっております。[2]

下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。


影響
====

本脆弱性の対象となるバージョンは次の通りです。

- Shibboleth IdP V3.0.0 〜 V3.4.5

External, RemoteUser, X509, SPNEGOのようなJavaサーブレットやJSPページ
に依存するログインフローを使用しているIdPは本脆弱性の影響を受けます。

学認技術ガイド[3]に従って構築した標準的なIdPでは、Passwordログインフロー
を使用しますので、本脆弱性の影響はありません。


対策
====

Shibboleth IdPを最新のバージョンV3.4.6へアップデートしてください。

尚、V3.4.6では一部の特殊なIdPプラグインを使っている場合にエラーが発生
するという報告が上がっていますのでご注意ください。[4][5]

学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデート
に関する情報がまとまっておりますので適宜ご参照ください。
- https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847 


参考情報
========

[1] http://shibboleth.net/community/advisories/secadv_20191002.txt
[2] https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAdvisories
[3] https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
[4] https://marc.info/?l=shibboleth-users&m=157019539119083&w=2
[5] https://wiki.shibboleth.net/confluence/display/IDP30/ReleaseNotes#ReleaseNotes-3.4.6(Oct2,2019) 

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
 電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
 学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++