[upki-fed:01035] Re: Shibboleth SPの脆弱性について(2016.2.26)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

Shibboleth SPをご利用のみなさま
NIIの西村です。

以下で案内しましたディストリビューションのxerces-cパッケージについてですが、
3月10日付でアップデートされております。(xerces-c-3.1.1-8.el7_2)
https://rhn.redhat.com/errata/RHSA-2016-0430.html
CentOS 7, RHEL 7, Scientific Linux 7等でShibboleth SPを動かして
いる方は、アップデートをよろしくお願いします。

> OSをRHEL7系統(CentOS7等)でSPを構築した場合，Apache Xerces-C XML
> Parserはディストリビューションが提供するパッケージ(xerces-c)を使用します。
> 2016/2/26時点ではディストリビューションから修正パッケージがリリースされ
> ていませんが，リリースされ次第速やかなアップデートをおすすめいたします。

繰り返しになりますが、リモートからのコード実行を受ける可能性が指摘されています。


> 2016/02/26 16:54、国立情報学研究所　学認事務局　野田 <xxxxxxxxxxxxxx@xxxxxxxxx> のメール：
> 
> 学認情報交換ML　利用者各位
> 学認SP運用ご担当者　各位
> 
> 　国立情報学研究所　学認事務局の野田です。
> 平素より学認の事業にご協力を賜り，ありがとうございます。
> 
> Shibboleth Projectより，Shibboleth SPで使用するApache Xerces-C XML
> Parserに関する脆弱性が発表されています。[1]
> 
>  CVE-2016-0729: Apache Xerces-C XML Parser Crashes on Malformed Input
> 
> 本脆弱性ではApache Xerces-C XML Parserの不具合(CVE-2016-0729)により，
> Shibboleth SPへのDoS攻撃や，リモートからのコード実行を受ける可能性が指摘
> されています。
> 
> 以下に挙げる条件に該当する場合には脆弱性の影響を受けますので，速やかな
> アップデートをおすすめいたします。
> 
> * Apache Xerces-C XML Parser が 3.1.3 (2016/2/18公開)より前のバージョン
> 
> 学認技術ガイドに従ってSPを構築した場合，OSはCentOSの5系または6系となり
> ます。これらのOSの場合には，OS全体，またはShibboleth SP関連パッケージを
> 最新版にアップデートしてください。[2]
> 
> 
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753
> 
> OSをRHEL7系統(CentOS7等)でSPを構築した場合，Apache Xerces-C XML
> Parserはディストリビューションが提供するパッケージ(xerces-c)を使用します。
> 2016/2/26時点ではディストリビューションから修正パッケージがリリースされ
> ていませんが，リリースされ次第速やかなアップデートをおすすめいたします。
> 
> 参考情報:
> 
> [1] CVE-2016-0729: Apache Xerces-C XML Parser Crashes on Malformed Input
>    https://shibboleth.net/pipermail/announce/2016-February/000141.html
>    http://xerces.apache.org/xerces-c/secadv/CVE-2016-0729.txt
> 
> [2] 学認技術ガイド SPアップデートに関する情報
> 
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘