[upki-fed:119] 【注意喚起】Shibboleth IdPの脆弱性について(2025/8/26付アドバイザリ)
71 views
Skip to first unread message
学認事務局
Sep 11, 2025, 4:08:18 AMSep 11
to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。
Shibboleth Projectから、CAS protocol
supportにおいて発生するクロスサイトスクリプティング(XSS)脆弱性に関するセキュリティアドバイザリが
公開されています。[1][2]
本脆弱性のSeverityは High となっております。[3]
下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V5.1.6未満 (V5.1.6を含まない)
IdPがCASをサポートしている場合に影響があります。
技術ガイド[4]に従って構築された標準的なIdPはCASをサポートする設定はありませんので本脆弱性の影響はありません。
対策
====
Shibboleth IdPを最新のバージョンV5.1.6へアップデートしてください。
※ V5.1.6では、本脆弱性への対策の他に、CVE-2025-41242への対処ため、Spring Frameworkが6.2.10に更新されています。
CVE-2025-41242はIdPやJetty、Tomcatのデフォルト設定では問題の影響を受けない旨の見解が示されています。[5]
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20250826.txt
[2] https://shibboleth.net/pipermail/announce/2025-August/000357.html
[3] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199512795/SecurityAdvisories
[4] https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
[5] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseNotes#5.1.6-(August-26,-2025)
[6] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv5アップデートに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/QhNeBw
===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================
--
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。
Shibboleth Projectから、CAS protocol
supportにおいて発生するクロスサイトスクリプティング(XSS)脆弱性に関するセキュリティアドバイザリが
公開されています。[1][2]
本脆弱性のSeverityは High となっております。[3]
下記を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V5.1.6未満 (V5.1.6を含まない)
IdPがCASをサポートしている場合に影響があります。
技術ガイド[4]に従って構築された標準的なIdPはCASをサポートする設定はありませんので本脆弱性の影響はありません。
対策
====
Shibboleth IdPを最新のバージョンV5.1.6へアップデートしてください。
※ V5.1.6では、本脆弱性への対策の他に、CVE-2025-41242への対処ため、Spring Frameworkが6.2.10に更新されています。
CVE-2025-41242はIdPやJetty、Tomcatのデフォルト設定では問題の影響を受けない旨の見解が示されています。[5]
参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20250826.txt
[2] https://shibboleth.net/pipermail/announce/2025-August/000357.html
[3] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199512795/SecurityAdvisories
[4] https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP
[5] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseNotes#5.1.6-(August-26,-2025)
[6] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv5アップデートに関する情報がまとまっておりますので適宜ご参照ください。
https://meatwiki.nii.ac.jp/confluence/x/QhNeBw
===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================
--
Reply all
Reply to author
Forward
0 new messages