[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01534] 【注意喚起】Shibboleth IdPの脆弱性について(2022/12/16付アドバイザリ)
- Subject: [upki-fed:01534] 【注意喚起】Shibboleth IdPの脆弱性について(2022/12/16付アドバイザリ)
- Date: Wed, 21 Dec 2022 13:34:20 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectより、Shibboleth IdPにおけるXMLデータの暗号化・復号
に関するセキュリティアドバイザリが公開されています。[1], [2]
本脆弱性のSeverityは critical となっており[3]、想定される攻撃は、サー
ビスの拒否からリモートコード実行まで多岐にわたります。
下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施し
てください。
影響
====
本脆弱性の対象となるのは、下記のShibboleth IdPの旧バージョンです。
- Shibboleth IdP V4.1.x
- Shibboleth IdP V4.0.x
- Shibboleth IdP V3.x
- Shibboleth IdP V2.x
※ いずれもEOLになっております。
対策
====
Shibboleth IdP V3.xおよびV2.xに対する推奨事項
---------------------------------------------
- JavaがLTSリリースで、最新かつパッチが適用されていることを確認する。
最新のJava環境でIdPを運用することで、主なリスクは回避できると思わ
れます。
- できるだけ早急に、IdPの最新の安定バージョンであるV4.2.1へのアップ
グレードを検討する。
V3およびV2では、Javaが最新でパッチが適用されていれば、当面のリスクはな
いと思われますが、本件は十分に深刻かつ、潜在的な攻撃はリスクが高いと考
えられるほど広範囲に及んでいます。
Shibboleth IdP V4.0.xおよびV4.1.xに対する推奨事項
-------------------------------------------------
- JavaがLTSリリースで、最新かつパッチが適用されていることを確認する。
最新のJava環境でIdPを運用することで、主なリスクは回避できると思わ
れます。
- できるだけ早急に、IdPの最新の安定バージョンであるV4.2.1へのアップ
グレードを検討する。
V4.0およびV4.1では、Javaが最新でパッチが適用されていれば、当面のリスク
はないと思われますが、本件は十分に深刻かつ、潜在的な攻撃はリスクが高い
と考えられるほど広範囲に及んでいます。
- 緊急的な緩和策として、アドバイザリ[1]に記載の下記手順に従い、
xmlsecライブラリをバージョン2.3.0にアップグレードすることを検討す
る。
1. Jettyを停止する。
# systemctl stop jetty
2. dist/webapp/WEB-INF/lib/ にある古い xmlsec-X.X.X.jar を削除する。
# rm /opt/shibboleth-idp/dist/webapp/WEB-INF/lib/xmlsec-*.*.*.jar
3. [4]から新しいバージョン(xmlsec-2.3.0.jar)をダウンロード・検証し
2.と同じディレクトリに配置する(もしくは edit-webapp/WEB-INF/lib/ に配置してもよい)。
4. 通常通り build.sh もしくは build.bat コマンドでリビルドする。
# /opt/shibboleth-idp/bin/build.sh
5. Jettyを起動する。
# systemctl start jetty
Shibboleth IdP V4.2.xに対する推奨事項
-------------------------------------
- JavaがLTSリリースで、最新かつパッチが適用されていることを確認する。
- V4.2.0からV4.2.1へのアップグレードを検討する。
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20221216.txt
[2] https://shibboleth.net/pipermail/announce/2022-December/000278.html
[3] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631889/SecurityAdvisories#Advisory-List
[4] https://repo1.maven.org/maven2/org/apache/santuario/xmlsec/2.3.0/
[5] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv4アップ
デートに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/FCbxAg
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===============================================