Shibboleth ProjectよりShibboleth IdPに関する複数の脆弱性情報が発表されています。
- Shibboleth Identity Provider Security Advisory [13 August 2014]
- Shibboleth Identity Provider Security Advisory [19 September 2014]
これらの脆弱性は,IdPからのSSL/TLS接続(具体的にはHTTPSまたはLDAPS接続)でサーバ証明書に対して適切なホスト名の検証が行われないという不具合により,中間者攻撃を受ける可能性が指摘されています。
2014/8/13に公開されたShibboleth IdP 2.4.1およびそれ以前のバージョンをご利用の場合にこれら脆弱性の影響を受けますので,速やかなアップデートをおすすめいたします。
Shibboleth IdPのアップデート手順は下記のURLをご参照ください。
https://wiki.shibboleth.net/confluence/display/SHIB2/IdP2Upgrade
2014/8/13に公開された脆弱性は特定の条件下における問題でしたが,2014/9/19に公開された脆弱性はIdPのリモートファイル取得や認証・属性情報取得にて利用されるSSL/TLS接続のすべてに影響するものです。
ただし,技術ガイドに従って構築したIdPで他のカスタマイズをしていない場合は,メタデータ取得時に署名検証を行っていること,localhostのLDAPサーバにLDAP接続していることから影響を受けません。
構築されたIdPで独自のカスタマイズを行っている場合や,特に下記に示すような利用をされている場合には影響を受けますのでご注意ください。
- IdPから他ホストのLDAPサーバへLDAPS接続を利用している場合
- 学認申請システム補足マニュアルの「attribute-filterの自動生成機能を使う」をご利用の場合で,かつ「a) 学認申請システムが生成したattribute-filterを直接読み込む方法」を採用している場合
attribute-filterの自動生成機能を使う
https://meatwiki.nii.ac.jp/confluence/x/A4Lf
また,OpenSAML Java 2.6.2およびそれ以前バージョンも同様の問題があります。OpenSAML Javaをご利用の場合にはセキュリティアドバイザリに従った対処を行ってください。
参考情報:
- Shibboleth Identity Provider Security Advisory [13 August 2014]
(Shibboleth Consortiumのセキュリティアドバイザリ)
https://shibboleth.net/community/advisories/secadv_20140813.txt
- Shibboleth Identity Provider Security Advisory [19 September 2014]
(Shibboleth Consortiumのセキュリティアドバイザリ)
https://shibboleth.net/community/advisories/secadv_20140919.txt
本件に関する連絡先
===============================================
国立情報学研究所 学認事務局
TEL:03-4212-2218
===============================================
