[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01336] 【注意喚起】Shibboleth SP関連の脆弱性について(2019/12/16付アドバイザリ)

Subject: [upki-fed:01336] 【注意喚起】Shibboleth SP関連の脆弱性について(2019/12/16付アドバイザリ)
Date: Thu, 12 Mar 2020 17:34:35 +0900
From: 国立情報学研究所学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>

SP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Apache Software Foundationより、Shibboleth SPで用いられるXMLパーサ
ライブラリXerces-Cに関するセキュリティアドバイザリが公開されています。[1]

本アドバイザリによると、XMLパーサライブラリXerces-Cに解放済みメモリの
使用に関する脆弱性が存在し、DTD(Document Type Definition)処理が有効な
場合に、DoS攻撃およびリモートコード実行の可能性が指摘されています。

本脆弱性のSeverityは High となっております。
下記を参考に、早急に影響をご確認いただき、該当する場合は速やかにアップ
デートを適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - Xerces-C 3.0.0 から 3.2.2 [2]

学認技術ガイド[3]に従ってSPを構築した場合、OSはRHEL/CentOS6または7となります。


* (RHEL/CentOS 6の場合)
  Shibboleth SP 2.6.0未満を利用している場合に影響を受けます。

* (RHEL/CentOS 7の場合)
  Shibboleth SP 3.0.0未満を利用している場合に影響を受けます。

対策
====

アドバイザリの公開後も、一部のOS同梱のパッケージを除き、Xerces-Cの
メンテナンスされたバージョンでは修正されておらず、DTD処理を無効化する
以外の緩和策はありません。

* (RHEL/CentOS 6の場合)
  Shibboleth SP 2.6.0以降にアップデートしてください。特別な理由がない
　限りは最新版(3.0.4)にアップデートすることを強く推奨します。

  ※ Shibboleth独自のXerces-Cのパッケージを利用しており、Shibboleth SP
     2.6.0以降では自動的にDTD処理の無効化がされます。

  つまりRHEL/CentOS 6の場合はOS同梱のXerces-Cの修正パッケージを適用
　しても意味がありません。

* (RHEL/CentOS 7の場合)
  Shibboleth SP 3.0.0以降にアップデートしてください。特別な理由がない
　限りは最新版(3.0.4)にアップデートすることを強く推奨します。

  ※ SP v2ではOS同梱のXerces-Cのパッケージを利用していましたが、
     Shibboleth SP 3.0.0以降ではShibboleth独自のXerces-Cパッケージを
　　 利用しており、自動的にDTD処理の無効化もされます。

  何らかの理由によりSPのアップデートが難しい場合(SP v2を使い続ける
  場合)は、OS同梱のXerces-Cの修正パッケージがRed Hatより公開されて
  いますので適用してください。[4]

学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

  - SPv3アップデートに関する情報
    https://meatwiki.nii.ac.jp/confluence/x/QQWy

参考情報
========

[1] CVE-2018-1311: Apache Xerces-C use-after-free vulnerabilityprocessing external DTD

    https://xerces.apache.org/xerces-c/secadv/CVE-2018-1311.txt
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1311
[3] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
[4] https://access.redhat.com/errata/RHSA-2020:0704

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Prev by Date: [upki-fed:01335] Re: Shibboleth IdP ver4に関する情報について
Next by Date: [upki-fed:01337] Re: Shibboleth IdP ver4に関する情報について
Previous by thread: [upki-fed:01334] 【重要】学認申請システムメンテナンスのお知らせ(2020/2/18 14:00 - 18:00)
Next by thread: [upki-fed:01339] 学認LMSで「倫倫姫の情報セキュリティ教室」を公開しました
Index(es):
- Date
- Thread