[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01427] 【注意喚起】Shibboleth SP関連の脆弱性について(2021/5/26付アナウンス)

Subject: [upki-fed:01427] 【注意喚起】Shibboleth SP関連の脆弱性について(2021/5/26付アナウンス)
Date: Wed, 4 Aug 2021 13:56:52 +0900
From: "xxxxxxxxxxxxxx@xxxxxxxxx" <xxxxxxxxxxxxxx@xxxxxxxxx>

SP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

libcurlの脆弱性(CVE-2021-22901)を受けて、ShibbolethProjectよりWindows版ShibbolethSPとCentOS向けのlibcurl関連ライブラリの更新がアナウンスされています。[1]

アナウンスによると、ShibbolethSPでバックチャネルを使用している場合に脆弱性の影響を受けます。curlのセキュリティアドバイザリ[2]では本脆弱性のSeverityは Highとなっております。


下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデートを適用するなどの対策を実施してください。

影響
====
本脆弱性の対象となるバージョンは次の通りです。

(Windowsの場合)
- Windows版Shibboleth SP V3.2.2.1未満 (V.3.2.2.1は含まれません)

(CentOSの場合)
- libcurl 7.75.0以上 7.77.0未満 (7.77.0は含まれません)
※ 学認技術ガイド[3]に従ってSPを構築した場合も本脆弱性の影響を受けます。

対策
====
(Windowsの場合)
Shibboleth SPを最新のバージョンV3.2.2.1へアップデートしてください。

(CentOSの場合)
libcurl-opensslを下記のバージョンにアップデートしてください。
- libcurl-openssl-7.77.0-1.1.x86_64

※アップデート適用後、shibdは自動で再起動されませんので手動で再起動してください。


学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
関する情報がまとまっておりますので適宜ご参照ください。

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=11666753

参考情報
========
[1] https://shibboleth.net/pipermail/announce/2021-May/000236.html
[2] https://curl.se/docs/CVE-2021-22901.html
[3] 学認技術ガイド - SP
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP

--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================

Prev by Date: [upki-fed:01426] $B3XG'(BLMS$B6[5^%a%s%F%J%s%9(B$B$K$D$-$^$7$F!J(B8/3 11:00-12:00$B!K(B
Next by Date: [upki-fed:01428] 【注意喚起】Shibboleth SPの脆弱性について(2021/6/22付アドバイザリ)
Previous by thread: [upki-fed:01426] $B3XG'(BLMS$B6[5^%a%s%F%J%s%9(B$B$K$D$-$^$7$F!J(B8/3 11:00-12:00$B!K(B
Next by thread: [upki-fed:01428] 【注意喚起】Shibboleth SPの脆弱性について(2021/6/22付アドバイザリ)
Index(es):
- Date
- Thread