[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01443] Re: 【注意喚起】Shibboleth SPの脆弱性について(2021/4/26付アドバイザリ)
- Subject: [upki-fed:01443] Re: 【注意喚起】Shibboleth SPの脆弱性について(2021/4/26付アドバイザリ)
- Date: Thu, 30 Sep 2021 17:53:49 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
Shibboleth SPをお使いのみなさま
NIIの西村です。
旧聞となってしまいましたが、Shibboleth SP 3.2.1未満からの挙動変更点として、
GakuNinShare 設定・運用・カスタマイズ[7]の「学認外のIdPを選択できるようにする
方法」で提供していた
discoveryTemplate.html
がV3.2.1のコード変更の影響を受けることが確認されております。
具体的には、ほとんどの場合意図した動作をしますが、お使いのSPにて
forceAuthn, isPassive, acsIndex, authnContextClassRef, authnContextDeclRef, authnContextComparison
のパラメーターを受け付けてそれに応じた特殊な動作をさせている場合、3.2.1以降では
それらのパラメーターがSPに伝達されず意図した動作を行わない可能性がございます。
具体的には以下のようにファイル内で<shibmlpif>を利用している場合、3.2.1以降では
一律除去されますので、代替としてJavaScriptでquery stringを確認する等別の手段を
使うようにしてください。
> <shibmlpif forceAuthn>
> <input type="hidden" name="forceAuthn" value="<shibmlp forceAuthn/>"/>
> </shibmlpif>
[7] https://meatwiki.nii.ac.jp/confluence/x/Gguc
> 2021/05/17 9:00、GakuNin Office <xxxxxxxxxxxxxx@xxxxxxxxx>のメール:
>
> IdP運用担当者 各位
> 学認情報交換ML参加者 各位
>
> 国立情報学研究所 学認事務局です。
> 平素より学認の運営にご協力を賜り,ありがとうございます。
>
>
> Shibboleth Projectより、Shibboleth SPに関するセキュリティアドバイザリ
> が公開されています。[1]
>
> 本アドバイザリによると、SP V3より追加されたCookieベースのセッション回
> 復機能[2]の脆弱性で、DoS攻撃の可能性があります。
>
> 本脆弱性のSeverityは moderate となっております。[3]
>
> 下記を参考に、影響をご確認いただき、該当する場合は速やかにアップデート
> を適用するなどの対策を実施してください。
>
>
> 影響
> ====
>
> 本脆弱性の対象となるバージョンは次の通りです。
>
> - Shibboleth SP V3.2.2未満 (V3.2.2は含まれません)
>
> ※ V3より前のバージョンは影響を受けません。
>
> Cookieベースのセッション回復機能[2]を *利用していない場合* に影響を受
> ける脆弱性であり、学認技術ガイド[4]に従って構築した標準的なSPでは、当
> 該機能を利用しないため、本脆弱性の影響を受けます。
>
>
> 対策
> ====
>
> Shibboleth SPを最新のバージョン V3.2.2 へアップデートしてください。
>
> - shibboleth-3.2.2-3.1.x86_64
>
> ※ アップデート適用後、shibdやhttpdが自動で再起動されない可能性があ
> りますので、その場合は手動で再起動してください。
>
> すぐのアップデートが難しい場合は、shibboleth2.xmlで(利用しなくても)
> DataSealerの設定[5]をすることにより、本脆弱性の影響を回避できます。
>
> 設定例:
> <DataSealer type="Static" key="..." />
>
> ※ keyの値には「openssl rand -base64 16」等のコマンドで生成できる
> BASE64でエンコードされたランダムな文字列 (バイト数 16 or 24 or
> 32)を設定してください。
>
> なお、この回避策の利用には設定ファイルのV3のXML名前空間への更新[6]が済
> んでいる必要がありますのでご注意ください。
>
>
> 学認に関する情報共有スペース(GakuNinShare)に有志によるSPアップデートに
> 関する情報がまとまっておりますので適宜ご参照ください。
>
> SPv3アップデートに関する情報
> https://meatwiki.nii.ac.jp/confluence/x/QQWy
>
>
> 参考情報
> ========
>
> [1] https://shibboleth.net/community/advisories/secadv_20210426.txt
> [2] https://wiki.shibboleth.net/confluence/display/SP3/SessionCache#SessionCache-SessionRecovery
> [3] https://wiki.shibboleth.net/confluence/display/SP3/SecurityAdvisories#SecurityAdvisories-AdvisoryList
> [4] 学認技術ガイド - SP
> https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
> [5] https://wiki.shibboleth.net/confluence/display/SP3/DataSealer
> [6] SPv3アップデートに関する情報 - 2.3. shibboleth2.xmlの新形式への移行
> https://meatwiki.nii.ac.jp/confluence/x/QQWy#SPv3%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E6%83%85%E5%A0%B1-2.3.shibboleth2.xml%E3%81%AE%E6%96%B0%E5%BD%A2%E5%BC%8F%E3%81%B8%E3%81%AE%E7%A7%BB%E8%A1%8C
--
西村健
国立情報学研究所 TEL:03-4212-2890
★在宅勤務の場合もありますので、基本的にメールでご連絡ください★
⌘