[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01463] 【注意喚起】Shibboleth IdP/SPにおけるApache Log4jのコード実行脆弱性(CVE-2021-44228)の影響について
- Subject: [upki-fed:01463] 【注意喚起】Shibboleth IdP/SPにおけるApache Log4jのコード実行脆弱性(CVE-2021-44228)の影響について
- Date: Tue, 14 Dec 2021 14:14:37 +0900
- From: xxxxxxxxxxxxxx@xxxxxxxxx
IdP運用担当者 各位
SP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth IdP/SPにおけるApache Log4jのコード実行の脆弱性
(CVE-2021-44228)の影響についてお知らせします。
* Shibboleth IdP
学認技術ガイド(*1)に従って構築した標準的なIdPには影響はありません。
- Shibbolethh IdPでは通常の設定ではlog4jは使用していません。技術ガイド
に従って構築したIdPではロギングにlogbackが使用されています。(*2)(*3)
- 技術ガイドではサーブレットコンテナとしてJettyを採用していますが、
Shibboleth Projectが配布している各種設定ファイル群(jetty-base)を利用
しており、この中ではロギングにlogbackを使用しています。(*4)(*5)
- 過去の技術ガイドではIdPのサーブレットコンテナにTomcat(7.0, 8.5, 9.0)
を使用していました。Tomcatでは明示的に設定しない限りlog4jは使用され
ません。(*6)(*7)(*8)(*9)
- CentOS 7でyumからインストールしたtomcatは依存パッケージとしてlog4jバー
ジョン1がインストールされますが当該パッケージは本脆弱性の影響を受け
ないとされております。(*10)
* Shibboleth SP
Apache Log4jはJavaベースのソフトウェアで利用されるためC++ベースの実装
であるShibboleth SPについては影響はありません。
(*1) https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
(*2) http://shibboleth.net/pipermail/announce/2021-December/000253.html
(*3)
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631710/LoggingConfiguration
(*4)
https://www.eclipse.org/jetty/documentation/jetty-9/index.html#configuring-logging
(*5)
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021624
(*6) https://marc.info/?l=tomcat-user&m=163921065922514&w=2
(*7) https://tomcat.apache.org/tomcat-9.0-doc/logging.html
(*8) https://tomcat.apache.org/tomcat-8.5-doc/logging.html
(*9) https://tomcat.apache.org/tomcat-7.0-doc/logging.html
(*10) https://access.redhat.com/security/cve/cve-2021-44228
--
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===============================================