[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01224] 【注意喚起】Shibboleth SP関連の脆弱性について(2018/8/3付アドバイザリ)



SP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位

 国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Shibboleth Projectより,Shibboleth SPに関連するセキュリティアドバイザリ
が公開されています。[1]

本アドバイザリによると、Apache Santuario XML Security for C++ ライブラ
リ (xml-security-c) の脆弱性で、DoS攻撃の可能性があります。

本脆弱性のSeverityは high となっております。[2]
下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - libxml-security-c 2.0.1未満[2]

学認技術ガイド[3]に従ってSPを構築した場合、いずれの場合も本脆弱性の影響
を受けます。

対策
====

xml-security-c ライブラリのパッケージを最新のバージョン V2.0.1 へアップ
デートしてください。

  - libxml-security-c20-2.0.1-3.1.x86_64

  ※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があり
     ますので、その場合は手動で再起動してください。

なお、Shibboleth SP V2はxml-security-c V1.7.xを利用しており、
xml-security-c V2.0.Xとは互換性がないため、SP V2をご利用の場合は、本脆
弱性の修正のためにはSP V3へのアップグレードが必要となります。

学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

  SPv3アップデートに関する情報

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753

参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20180803.txt
[2] https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP

--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
 電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
 学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++