[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00366] Shibboleth IdP 2.3.2および2.3.3
- Subject: [upki-fed:00366] Shibboleth IdP 2.3.2および2.3.3
- Date: Tue, 13 Sep 2011 15:07:13 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
先日お知らせの通り脆弱性対応としてShibboleth IdP 2.3.2がリリースされております。
また、その後バグフィクスとして2.3.3がリリースされております。
shibboleth-announce ML (xxxxxxxx@xxxxxxxxxxxxxx) で流れていたのですが、このML
のアーカイブが保存されなくなったようなので、このメールの最後にアナウンスのメールを
添付します。
# IdP/SP管理者の方は、これを機会に上記MLに参加されることをお勧めします。
# http://shibboleth.internet2.edu/lists.html
以下に詳細を書きますが、結論としては、セキュリティのことだけを考えるなら2.3.2に
バージョンアップすることがお勧めのようです。2.3.3には極特殊な設定ファイルで発生する
バグがあります。
逆にすでに2.3.3に上げていてこのバグ(フィルタの問題)に引っかかっていなければ、2.3.2
に下げる必要はありません。
***
この2.3.3のアナウンスにもあるように、スコープ付き属性が削除される、例えば
xxxxxx@xxxxxxxxxxxx
xxxxxx@xxxxxxxxxxxx
両方送ろうとしたときに片方が削除されるというバグが直っているようです。学認は単一スコープ
なので関係ありません。もう一つバグが修正されていますが、ログイン画面にSPのロゴを表示する
場合にそのHTMLソースがHTMLの規格に合っていないというものでこれもクリティカルではないと
思います。詳細は以下にあります。
https://issues.shibboleth.net/jira/browse/SC-161
https://issues.shibboleth.net/jira/browse/SIDP-504
ただし、eduPersonTargetedIDをフィルタリングする際に、2つのPermit条件に合致すると
エラーが出るというバグが2.3.3には存在します(2.3.2には存在しません)。
詳細は以下にあり、こちらで検証したところ以下のようにPermit/Permitのペアの時だけエラーが
表示されました。つまりこのバグに当たる確率は極めて小さいです。
検証詳細:
attribute-filter.xmlにて、
ANY: <afp:PolicyRequirementRule xsi:type="basic:ANY" />
の要素にPermitValueRuleを記述し、特定のSPのみ適用される要素(SP)に
PermitValueRuleもしくはDenyValueRuleを記述して検証を行なっています。
※いずれも対象属性はeduPersonTargetedIDで、それ以外の属性はバグの影響を受けません。
ANY:Permit SP:Permit → NG
ANY:Permit SP:Deny → OK
ANY:Permit SP:Deny,Permit → OK
ANY:Permit SP:Deny,Permit Permit → OK
ANY:Permit SP:Permit Deny → OK
ANY:Permit SP:test002のみPermit → test002だけNG
2.3.3をインストール予定の方はどうぞご注意ください。
# 個人的には、2.3.0より後の設定XMLファイルが改行やら"/>"前のスペースやらを削除していて
# 直接diffを取ると出力が膨大になる(が実際の変更は数行)のが元に戻っているといいなと
# 思っていたのですが、変更なしのようです。開発者側は行単位でdiffを取るのではなく
# xmldiffを使えと言っているようです…
--
西村健
国立情報学研究所 TEL:03-4212-2720
-------- Original Message --------
Subject: IdP v2.3.3 Released
Date: Mon, 1 Aug 2011 09:51:56 -0400
From: Chad La Joie <xxxxxx@xxxxxxxxx>
Reply-To: xxxxx@xxxxxxxxxxxxxx
To: Shib Announce <xxxxxxxx@xxxxxxxxxxxxxx>
IdP, version 2.3.3, is now available on our download site[1]. This
release fixes a problem where the attribute filter engine was
incorrectly de-duplicating attribute values. It also fixes a case
where the HTML generated by the logo taglib had unbalanced quotes.
[1] http://shibboleth.net/downloads/identity-provider/2.3.3
--
Chad La Joie
www.itumi.biz
trusted identities, delivered
--
To unsubscribe from this list send an email to xxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx