[upki-fed:01305] 【注意喚起】Shibboleth IdPの脆弱性について(2019/9/18付アドバイザリ)

[国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>]

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

Shibboleth Projectより、Shibboleth IdPに関するセキュリティアドバイザリ
が公開されています。[1]

本アドバイザリによると、Shibboleth IdPの脆弱性により、persistent形式の
NameID(persistent-id(*))を含む認証応答において、意図したものとは異なる
SPに対するpersistent-idが公開される可能性があり、情報開示のリスクが
あります。

  (*) persistent-idについての設定方法等詳細は[2]をご参照ください。一般
      的に同じ値を生成・送信するeduPersonTargetedIDは対象外です。
      加えて、Shibboleth IdPバージョン2時代から運用していて当時の書式を
      用いている場合は、attribute-resolver.xmlにSAML2StringNameIDの
      AttributeEncoderでpersistentなnameFormatのものがある場合に本脆弱
      性の可能性があります。

本脆弱性のSeverityは moderate となっております。[3]

下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
を適用するなどの対策を実施してください。


影響
====

本脆弱性の対象となるバージョンは次の通りです。

  - Shibboleth IdP V3.0.0 ～ V3.4.4


対策
====

Shibboleth IdPを最新のバージョンV3.4.5へアップデートしてください。
学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv3アップデート
に関する情報がまとまっておりますので適宜ご参照ください。

  - 
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21437847

緩和策として、SPメタデータに含まれる<md:NameIDFormat>要素(**)や、IdPの
relying-party.xmlファイル中のnameIDFormatPrecedenceの設定等を再確認し、
IdPがpersistent-idをアプリオリに返しているSPがある場合は、その見直しを
行ってください。

  (**) なお、現時点の学認メタデータでは<md:NameIDFormat>要素に
       persistentを宣言しているのはRefWorksのみです。(ただし、eduGAINに
       参加している場合はこの限りではありませんし、独自に連携している
       SPがある場合はそれについてもご確認ください。)


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20190918.txt
[2] 
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=21434154
[3] https://wiki.shibboleth.net/confluence/display/IDP30/SecurityAdvisories
--
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  国立情報学研究所 学術基盤課 学認事務局　（担当：末永）
　電子メール     xxxxxxxxxxxxxx@xxxxxxxxx
　学認Webページ  https://www.gakunin.jp/
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++