[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01438] 【注意喚起】学認Shibboleth IdP構築技術ガイドJetty版の設定例の問題につきまして

Subject: [upki-fed:01438] 【注意喚起】学認Shibboleth IdP構築技術ガイドJetty版の設定例の問題につきまして
Date: Fri, 10 Sep 2021 17:51:03 +0900
From: xxxxxxxxxxxxxx@xxxxxxxxx

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

学認がShibbolethIdP構築のために提供している技術ガイドの中のJettyを用いた設定例に問題があることが判明しました。

技術ガイドに沿ったIdPを運用されている方は下記説明の通り設定を更新してください。

Apacheのssl.confの設定の不備により、細工されたリクエストによりインターネット上のクライアントから内部情報（/idp/status）
を取得されるというものです。

対処すべきファイルは/etc/httpd/conf.d/ssl.conf、該当箇所は以下のページで、

https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
> ↓以下を追加
> RequestHeader set X-Forwarded-Port 443
> RequestHeader set X-Forwarded-Proto https
> ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15
となっているところに2行追加して、以下のようにしてください。
RequestHeader set X-Forwarded-Port 443
RequestHeader set X-Forwarded-Proto https
RequestHeader unset Forwarded
RequestHeader unset X-Forwarded-For
ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15

念の為差分を示すと以下のようになります。
@@ -61,8 +61,6 @@
 ServerName ...:443
 RequestHeader set X-Forwarded-Proto https
 RequestHeader set X-Forwarded-Port 443
+RequestHeader unset Forwarded
+RequestHeader unset X-Forwarded-For
 ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15
（以下省略）

以上、お忙しいところ大変恐縮ですが、設定の更新をお願いいたします。

--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================

Prev by Date: [upki-fed:01437] 【注意喚起】 Apache Tomcat の脆弱性について
Next by Date: [upki-fed:01439] 【注意喚起】 Jettyの脆弱性について(2021/7/15付アドバイザリ)
Previous by thread: [upki-fed:01442] Re: （補足）【注意喚起】 Apache Tomcat の脆弱性について
Next by thread: [upki-fed:01439] 【注意喚起】 Jettyの脆弱性について(2021/7/15付アドバイザリ)
Index(es):
- Date
- Thread

[upki-fed:01438] 【注意喚起】 学認Shibboleth IdP構築技術ガイドJetty版の設定例の問題につきまして

[upki-fed:01438] 【注意喚起】学認Shibboleth IdP構築技術ガイドJetty版の設定例の問題につきまして