[upki-fed:01208] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/2/27付アドバイザリ)

[GakuNin Office <xxxxxxxxxxxxxx@xxxxxxxxx>]

SP運用ご担当者　 各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

　Shibboleth Projectより，Shibboleth 
SPに関するセキュリティアドバイザリが公開されています。[1]

　本アドバイザリによると、Shibboleth SPのXML処理に関する脆弱性で偽装
攻撃や保護情報の公開の可能性があります。

　本脆弱性のSeverityは critical となっております。[2]

　下記を参考に、早急に影響をご確認いただき、該当する場合は速やかに
アップデートを適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - XMLTooling-C 1.6.4未満[2]

学認技術ガイド[3]に従ってSPを構築した場合、OSはCentOS 6系または7系とな
りますが、いずれの場合も本脆弱性の影響を受けます。

本脆弱性は先月アナウンスされた脆弱性[4]に似ていますが、前回とは違い
Xerces-Cライブラリのバージョンが新しいものであっても対象となります。


対策
====

XMLTooling-C 関連パッケージを新しいバージョン 1.6.4 へアップデートして
ください。

  - libxmltooling7-1.6.4-3.1.x86_64
  - xmltooling-schemas-1.6.4-3.1.x86_64

※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があり
   ますので、その場合は手動で再起動してください。

学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20180227.txt
[2] 
https://wiki.shibboleth.net/confluence/display/SHIB2/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
[4] https://shibboleth.net/community/advisories/secadv_20180112.txt
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  GakuNin Office, National Institute of Informatics
　E-Mail     xxxxxxxxxxxxxx@xxxxxxxxx
　GakuNin Web Site  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++