[upki-fed:61] 【注意喚起】Shibboleth IdPの脆弱性について(2024/3/20付アドバイザリ(4/15更新)

108 views
Skip to first unread message

学認事務局

unread,
Apr 25, 2024, 2:53:03 AMApr 25
to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Shibboleth Projectから、Spring FrameworkのCASでのURL処理に関連する
Server-Side Request Forgery(SSRF)の脆弱性についてセキュリティアドバイ
ザリが公開されています。[1][2][3]

本脆弱性のSeverityは Low となっております。[4][5]

下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施し
てください。

影響
====

本脆弱性の対象となるバージョンは次の通りです。

- Shibboleth IdP V5.1.2未満 (V5.1.2を含まない)
- Shibboleth IdP V4.3.3未満 (V4.3.3を含まない)

IdPがCASをサポートしている場合に影響があります。

技術ガイド[6]に従って構築された標準的なIdPはCASをサポートする設定はあ
りませんので本脆弱性の影響はありません。

対策
====

Shibboleth IdPを以下のいずれかの最新バージョンへアップデートしてください。

- Shibboleth IdP V5.1.2
- Shibboleth IdP V4.3.3

参考情報
========

[1] <https://shibboleth.net/community/advisories/secadv_20240320.txt>
[2] <http://shibboleth.net/pipermail/announce/2024-April/000317.html>
[3] <http://shibboleth.net/pipermail/announce/2024-March/000312.html>
[4] <https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199512795/SecurityAdvisories>
[5] <https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631889/SecurityAdvisories>
[6] <https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP>
[7] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv4アップ
    デートに関する情報がまとまっておりますので適宜ご参照ください。
    <https://meatwiki.nii.ac.jp/confluence/x/FCbxAg>



===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact ===========================================================

--

Reply all
Reply to author
Forward
0 new messages