[upki-fed:00367] Shibboleth SP 2.4.3 の詳細

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

先般の案内の通りlibxml-security-cの脆弱性対応を行なった Shibboleth SP 2.4.3
およびOpenSAML-C(libsaml7)の最新版がリリースされております。
https://groups.google.com/a/shibboleth.net/group/announce/browse_thread/thread/fc9169eae9c0bbad
https://groups.google.com/a/shibboleth.net/group/announce/browse_thread/thread/ab672f278c27bb9b

yumのパッケージを使っている場合は、
/var/log/shibboleth, /var/run/shibbolethのパーミッションが強制変更される
（インストール時の状態で使っている場合は影響ありません※例外は以下の2.参照）くらい
でアップデートして使われる分には影響ありませんが、脆弱性対応以外にも以下の対応が
行なわれております。

1. Red Hat Enterprise Linux (RHEL) 6対応
  このバージョンからRHEL 6でも他のパッケージとの衝突の心配なく安心してご利用いただけるようになりました。
  具体的には、/opt/shibboleth/lib以下に独自修正版のライブラリを配置し、それを参照することにより
  他のパッケージへ与える影響を無くしています。
  https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPLinuxRH6
  上記変更については、yum upgrade (updateではなく)を実行するだけでうまくいったという報告があります。
2. /var/log/shibboleth/のパーミッションが変更されました。root以外読み書きできなくなっています。
3. 前に書いた、Firefox 5でのExpires:ヘッダ問題の解決

なお、2.4.2から、リダイレクトを制限できるようになっています。ご参考まで。
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions#NativeSPSessions-Attributes
の relayStateLimit の項です。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720