[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01179] 【注意喚起】Shibboleth IdPの脆弱性について(2017/10/5付アドバイザリ)
- Subject: [upki-fed:01179] 【注意喚起】Shibboleth IdPの脆弱性について(2017/10/5付アドバイザリ)
- Date: Thu, 12 Oct 2017 11:19:24 +0900
- From: 学認事務局 末永 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより,Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]
本脆弱性は、LDAP data connector [2] で用いられるライブラリの欠陥により、
サーバ証明書の検証に失敗し中間者攻撃を受ける可能性があります。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP 3.3.2未満
LDAPS (idp.authn.LDAP.useSSL = true) と default JVM trust
(idp.authn.LDAP.sslConfig = jvmTrust) を利用する設定で LDAP Data
Connector を使用している場合に本脆弱性の影響を受ける可能性があります。
LDAPS を利用する場合でも attribute-resolver.xml の LDAP Data Connector
の設定で、trustFile 属性または <StartTLSTrustCredential> 要素が適切に設
定されている場合には影響はありません。
また、学認技術ガイド[3]に従って構築した標準的なIdPでは、LDAPS 及び
default JVM trust を利用する設定にはなっていないことから、本脆弱性の影
響はありません。
対策
====
下記の1.もしくは2.の対策の実施をご検討ください。
(※ 両対策の実施がより好ましいです。)
1. 新しいバージョン 3.3.2 へアップデートしてください。
Shibboleth IdP 3.3.2
https://shibboleth.net/downloads/identity-provider/3.3.2/
学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
トに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847
2. attribute-resolver.xml の LDAP Data Connector の設定において、
trustFile 属性(3.2.xの場合は trustFile が使えませんので
<StartTLSTrustCredential> 要素)でLDAPサーバのCA証明書を参照するよう
設定してください。
参考情報
========
[1] Shibboleth Identity Provider Security Advisory [4 October 2017]
https://shibboleth.net/community/advisories/secadv_20171004.txt
[2] https://wiki.shibboleth.net/confluence/display/IDP30/LDAPConnector
[3] 学認技術ガイド - IdP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++