[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01246] 【注意喚起】Shibboleth IdP関連の脆弱性について(2018/12/19付アドバイザリ)
- Subject: [upki-fed:01246] 【注意喚起】Shibboleth IdP関連の脆弱性について(2018/12/19付アドバイザリ)
- Date: Fri, 21 Dec 2018 14:27:26 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用ご担当者 各位
学認情報交換メーリングリスト参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより、Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]
本アドバイザリによると、Shibboleth IdPの証明書検証処理に問題があり、本
来意図しないSPに対してCASのproxy権限を付与してしまう可能性があります。
結果として、悪意あるSPにユーザがアクセスすることにより、情報漏洩につな
がるリスクがあります。
本脆弱性のSeverityは moderate となっております。[2]
下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V3.4.2未満 (V3.4.2は含まれません)
CASを使用している場合[3]に影響があります。
学認技術ガイド[4]に従って構築した標準的なIdPでは、CASは使用しませんの
で影響はありません。
対策
====
脆弱性の対象となるバージョンで、CASを使用している場合には、以下のいず
れかの対策を講じてください。
1. Shibboleth IdP V3.4.2にアップデートして、設定を見直す。[5]
2. アップデートが難しい場合には、Javaのシステムトラストストアの見直し
をおこない、信頼する証明書を最小限にする。[6]
学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデー
トに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20181219.txt
[2] https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAdvisories
[3]
https://wiki.shibboleth.net/confluence/display/IDP30/CasProtocolConfiguration
[4] 学認技術ガイド - IdP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
[5] https://wiki.shibboleth.net/confluence/x/oIEYAw (原文の[2])
[6] https://wiki.shibboleth.net/confluence/x/HwE1Aw (原文の[3])
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
国立情報学研究所 学術基盤課 学認事務局 (担当:末永)
電子メール xxxxxxxxxxxxxx@xxxxxxxxx
学認Webページ https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++