[upki-fed:12] 【注意喚起】Shibboleth SP関連の脆弱性について(2023/6/12付アドバイザリ)

[学認事務局 <xxxxxxxxxxxxxx@xxxxxxxxx>]

SP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Shibboleth Projectから、Shibboleth SPで利用されているXMLToolingライブ
ラリの脆弱性に関するセキュリティアドバイザリが公開されています。[1][2]

本脆弱性のSeverityは Low となっております。[3]

下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施し
てください。


影響
====

本脆弱性の対象となるバージョンは次の通りです。

- XMLTooling V3.2.4より前バージョン

技術ガイド[4]に従って構築された標準的なSPは本脆弱性の影響を受ける可能
性があります。


対策
====

XMLToolingライブラリを最新のバージョンV3.2.4へアップデートしてください。
 ※ 更新後にshibdプロセスの再起動が必要です。

学認に関する情報共有スペース(GakuNinShare)に有志によるSPv3アップデート
に関する情報[5]がまとまっておりますので、適宜ご参照ください。

また、当該ライブラリの修正含むWindows版Shibboleth SP V3.4.1.3があわせ
てリリース[6]されています。学認事務局ではWindows版の技術的なサポートは
しておりません。各SPにおいて、ご確認の上、適宜対応をお願いいたします。


参考情報
========

[1] https://shibboleth.net/community/advisories/secadv_20230612.txt
[2] https://shibboleth.net/pipermail/announce/2023-June/000294.html
[3] https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2067399654/SecurityAdvisories
[4] https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/SP
[5] https://meatwiki.nii.ac.jp/confluence/x/QQWy
[6] https://shibboleth.net/pipermail/announce/2023-June/000295.html

===============================================
国立情報学研究所　学術基盤課　認証基盤・クラウド推進チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================

-- 

--- 
このグループから退会し、グループからのメールの配信を停止するには xxxxxxxxxxxxxxxxxxxx@xxxxxxxxx にメールを送信してください。