[upki-fed:01273] 【注意喚起】Shibboleth SP関連の脆弱性について(2019/3/11付アドバイザリ)

[国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>]

SP運用ご担当者　各位
学認情報交換メーリングリスト参加者　各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Shibboleth Projectより，Shibboleth SPに関連するセキュリティアドバイザリ
が公開されています。[1]

本アドバイザリによると，XMLパーサに問題があり，不正な形式のXML宣言を
処理するとサービス(※)が停止してしまう可能性があります。

※ 通常はshibdデーモンがクラッシュしますが，httpdデーモンもクラッシュ
   する可能性があります。

本脆弱性のSeverityは moderate となっております。[2]

下記を参考に，影響をご確認いただき，該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

- XMLTooling V3.0.4未満 (V.3.0.4は含まれません)

※ 学認技術ガイド[3]に従ってSPを構築した場合も本脆弱性の影響を受けます。


対策
====

XMLTooling 関連パッケージを新しいバージョン V3.0.4 へアップデートして
ください。

- libxmltooling8-3.0.4-3.1.x86_64
- xmltooling-schemas-3.0.4-3.1.x86_64

※ アップデート適用後，shibdやhttpdが自動で再起動されない可能性があり
   ますので，その場合は手動で再起動してください。

(Windowsの場合)
Shibboleth SPを新しいバージョン(V3.0.4)にアップデートしてください。

  - http://shibboleth.net/downloads/service-provider/latest/win32
  - http://shibboleth.net/downloads/service-provider/latest/win64

学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753

本脆弱性はV2も対象と思われます。上記ページにV3へのアップデート作業およ
びアップデート後の作業をまとめており，特に不具合の情報も聞こえてきてお
りませんので，この機会にV3系の最新版にアップデートすることをご検討くだ
さい。


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20190311.txt
[2] 
https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList
[3] 学認技術ガイド - SP
    https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++