[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01488] 【注意喚起】Shibboleth IdP V4.1.6リリースについて (CVE-2022-22965)



IdP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。

Shibboleth Projectより、Shibboleth IdP V4.1.6がリリースされています。
当該リリースでは、Spring Frameworkの任意コード実行の脆弱性
(CVE-2022-22965)への対策として、Spring Framework 5.3.18への更新がなさ
れていますので、V4.1.6へアップデートすることを推奨します。

なお、Shibboleth ProjectによればShibboleth IdPは問題の機能を使っておら
ず、この脆弱性を悪用する攻撃手法は見つかっていないとのことです。

詳細は以下のリンク先をご参照ください。

https://shibboleth.net/pipermail/announce/2022-March/000260.html
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/ReleaseNotes#4.1.6-(March-31,-2022)

加えて、Spring Frameworkの別の脆弱性(CVE-2022-22968)への対処のために、
4.2.0がリリースされ、また4.1.7がリリース予定との情報もございますのでご留意ください。

https://shibboleth.net/pipermail/announce/2022-April/000261.html

-- 
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===============================================