Shibboleth ProjectよりShibboleth IdPに関する脆弱性情報が発表されています。
- Shibboleth Identity Provider Security Advisory [3 November 2014]
http://shibboleth.net/community/advisories/secadv_20141103.txt
本脆弱性では,Xerces-J XML Parser の不具合(CVE-2013-4002)により,DoS攻撃を受ける可能性が指摘されています。
2014/11/3に公開されたShibboleth IdP 2.4.3より前のバージョンをご利用の場合に本脆弱性の影響を受けますので,速やかなアップデートをおすすめいたします。
バージョン2.4.3へのアップデートでは,通常のアップデート手順に加えて追加作業が必要です。
以下に,学認技術ガイド[2]通りに構築されたShibboleth IdP 2.4.0を,2.4.3にアップデートする場合の手順を記載しますので,参考にしてください。
事情によりすぐにアップデートが困難な場合,Shibboleth IdP 2.4.0およびそれ以降のバージョンについては対応について脆弱性情報[1]に説明がありますので,そちらを参考にしてください。
------------------------------------------------------------
Shibboleth IdPアップデート手順(2.4.0 → 2.4.3)
- JDKが本脆弱性について対策されたバージョンであることを確認します。
対策されていない古いバージョンのJDKをご使用の場合は新しいバージョンにアップデートしてください。
OpenJDKでは,以下に示すバージョンおよびそれ以降のバージョンが対策されたバージョンです。[3][4][5][6]
OpenJDK 7の場合:
CentOS 5系: java-1.7.0-openjdk-1.7.0.45-2.4.3.1.el5_10
CentOS 6系: java-1.7.0-openjdk-1.7.0.45-2.4.3.2.el6_4
OpenJDK 6の場合:
CentOS 5系: java-1.6.0-openjdk-1.6.0.0-1.42.1.11.14.el5_10
CentOS 6系: java-1.6.0-openjdk-1.6.0.0-1.65.1.11.14.el6_4
OracleのJDKでは,以下に示すバージョンおよびそれ以降のバージョンが対策されたバージョンです。[7][8][9]
JDK 6の場合: 6u65
JDK 7の場合: 7u45
- 通常の手順でShibboleth IdPをバージョン2.4.3にアップデートします。
Shibboleth IdPのアップデート手順は下記のURLをご参照ください。
https://wiki.shibboleth.net/confluence/display/SHIB2/IdP2Upgrade
- Xerces/Xalanライブラリをunendorseします。
endorsedディレクトリ配下のライブラリが不要になります。
CATALINA_HOME(*1)配下のendorsedディレクトリを削除してください。
(*1) CentOS標準パッケージのtomcat6場合: /usr/share/tomcat6
- /opt/shibboleth-idp/conf/internal.xmlを修正します。
class="org.apache.xerces.util.SecurityManager
となっている箇所をclass="com.sun.org.apache.xerces.internal.util.SecurityManager"
に修正してください。
- /usr/java/tomcat/conf/server.xmlを修正します。
全てのConnector要素にmaxPostSize="100000"を追加してください。
技術ガイドに従って設定している場合は「Connector port="8443"」と「Connector port="8009"」の2箇所が該当します。
それぞれ以下の通り修正してください。
※ 「+」は行の追加,「-」の行の削除を表しています。
[Connector port="8443"]<Connector port="8443" : scheme="https" + maxPostSize="100000" SSLEnabled="true" keystorePass="xxxxx" />
[Connector port="8009"]- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" + <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" maxPostSize="100000"
- tomcatを再起動します。
以上
------------------------------------------------------------
参考情報 :
- [1] Shibboleth Identity Provider Security Advisory [3 November 2014]
http://shibboleth.net/community/advisories/secadv_20141103.txt
- [2] 技術ガイド
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
- [3] [CentOS-announce] CESA-2013:1505 Important CentOS 5
java-1.6.0-openjdk Update
http://lists.centos.org/pipermail/centos-announce/2013-November/020016.html
- [4] [CentOS-announce] CESA-2013:1505 Important CentOS 6
java-1.6.0-openjdk Update
http://lists.centos.org/pipermail/centos-announce/2013-November/020019.html
- [5] [CentOS-announce] CESA-2013:1447 Important CentOS 5
java-1.7.0-openjdk Update
http://lists.centos.org/pipermail/centos-announce/2013-October/019980.html
- [6] [CentOS-announce] CESA-2013:1451 Critical CentOS 6
java-1.7.0-openjdk Update
http://lists.centos.org/pipermail/centos-announce/2013-October/019985.html
- [7] Oracle Critical Patch Update Advisory - October 2013
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html
- [8] 7u65 Update Release Notes
http://www.oracle.com/technetwork/java/javase/7u65-relnotes-2229169.html
- [9] Changes in 6u65
http://www.oracle.com/technetwork/java/javase/documentation/overview-156328.html
本件に関する連絡先
===============================================
国立情報学研究所 学認事務局
TEL:03-4212-2218
===============================================
