[upki-fed:01406] 【注意喚起】Shibboleth SPの脆弱性について(2021/4/26付アドバイザリ)

[GakuNin Office <xxxxxxxxxxxxxx@xxxxxxxxx>]

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。


Shibboleth Projectより、Shibboleth SPに関するセキュリティアドバイザリ
が公開されています。[1]

本アドバイザリによると、SP V3より追加されたCookieベースのセッション回
復機能[2]の脆弱性で、DoS攻撃の可能性があります。

本脆弱性のSeverityは moderate となっております。[3]

下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。


影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - Shibboleth SP V3.2.2未満 (V3.2.2は含まれません)

  ※ V3より前のバージョンは影響を受けません。

Cookieベースのセッション回復機能[2]を *利用していない場合* に影響を受
ける脆弱性であり、学認技術ガイド[4]に従って構築した標準的なSPでは、当
該機能を利用しないため、本脆弱性の影響を受けます。


対策
====

Shibboleth SPを最新のバージョン V3.2.2 へアップデートしてください。

  - shibboleth-3.2.2-3.1.x86_64

  ※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があ
     りますので、その場合は手動で再起動してください。

すぐのアップデートが難しい場合は、shibboleth2.xmlで(利用しなくても)
DataSealerの設定[5]をすることにより、本脆弱性の影響を回避できます。

  設定例:
    <DataSealer type="Static" key="..." />

    ※ keyの値には「openssl rand -base64 16」等のコマンドで生成できる
       BASE64でエンコードされたランダムな文字列 (バイト数 16 or 24 or
       32)を設定してください。

なお、この回避策の利用には設定ファイルのV3のXML名前空間への更新[6]が済
んでいる必要がありますのでご注意ください。


学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

  SPv3アップデートに関する情報
  https://meatwiki.nii.ac.jp/confluence/x/QQWy


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20210426.txt
[2] https://wiki.shibboleth.net/confluence/display/SP3/SessionCache#SessionCache-SessionRecovery
[3] https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[4] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
[5] https://wiki.shibboleth.net/confluence/display/SP3/DataSealer
[6] SPv3アップデートに関する情報 - 2.3. shibboleth2.xmlの新形式への移行
    https://meatwiki.nii.ac.jp/confluence/x/QQWy#SPv3%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%83%85%E5%A0%B1-2.3.shibboleth2.xml%E3%81%AE%E6%96%B0%E5%BD%A2%E5%BC%8F%E3%81%B8%E3%81%AE%E7%A7%BB%E8%A1%8C



----
お問い合わせ： https://www.gakunin.jp/contact