[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01497] 【注意喚起】Shibboleth IdP V4.2.1リリースについて
- Subject: [upki-fed:01497] 【注意喚起】Shibboleth IdP V4.2.1リリースについて
- Date: Thu, 12 May 2022 09:43:42 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより、Shibboleth IdP V4.2.1(V4.2.0)がリリースされて
います。
Shibboleth IdP V4.2.1は、V4.2.0のmemcacheライブラリがパッケージングさ
れていない問題に対処したバージョンでそれ以外にV4.2.0との違いはありませ
ん。
Shibboleth IdP V4.2.0では、Spring Frameworkの任意コード実行の脆弱性
(CVE-2022-22965)の対策がされたSpring Frameworkに更新されています。
なお、Shibboleth ProjectによればShibboleth IdPは問題の機能を使っておら
ず、この脆弱性を悪用する攻撃手法は見つかっていないとのことです。
先のアナウンスの通りこの潜在的な脆弱性への対策は4.1.7でも行われており
ます。
V4.2.0ではその他に以下の変更が行われています。
- Attribute-Based Subject C14Nの4.0/4.1の互換性に影響するバグ修正
- inbound SAML profile interceptor flows関連の互換性に影響する修正
- ログアウトの挙動変更オプション
- 重複したプロパティの警告
- ログイン画面の変更(新規インストール時のみ)
詳細は以下のリンク先をご参照ください。
https://shibboleth.net/pipermail/announce/2022-April/000262.html (V4.2.0)
https://shibboleth.net/pipermail/announce/2022-April/000265.html (V4.2.1)
https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/ReleaseNotes
以下のIdPプラグインをご利用の機関は、Shibboleth IdP V4.2以降では古いバー
ジョンのプラグインは動作しませんので、記載のバージョンへのアップデート
が必要です。
- OIDC OP: 3.1.1
- DuoOIDC: 1.2.0
- OIDC Commons: 2.0.0
- TOTP: 1.0.1
詳細は以下のリンク先をご参照ください。
https://shibboleth.net/pipermail/announce/2022-April/000263.html
https://shibboleth.net/pipermail/announce/2022-April/000267.html
https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/2776760321/OPReleaseNotes
学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv4アップデー
トに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/FCbxAg
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===============================================