[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01556] 【注意喚起】Shibboleth IdPの脆弱性について(2023/3/30付アドバイザリ)
- Subject: [upki-fed:01556] 【注意喚起】Shibboleth IdPの脆弱性について(2023/3/30付アドバイザリ)
- Date: Mon, 10 Apr 2023 13:11:21 +0900
- From: 国立情報学研究所 学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り,ありがとうございます。
Shibboleth Projectから、ログインフローにおけるリグレッションが原因でな
りすましが起こる可能性に関するセキュリティアドバイザリが公開されていま
す。[1][2]
本脆弱性のSeverityは Low となっております。[3]
下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施し
てください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V4.3.0
RemoteUserログインフローを利用しているIdPに影響があります。
技術ガイド[4]に従って構築された標準的なIdPはRemoteUserログインフローは
利用していませんので本脆弱性の影響はありません。
対策
====
Shibboleth IdPを最新のバージョンV4.3.1へアップデートしてください。
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20230330.txt
[2] https://shibboleth.net/pipermail/announce/2023-March/000286.html
[3] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631889/SecurityAdvisories
[4] https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
[5] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv4アップ
デートに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/FCbxAg
===============================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===============================================