[upki-fed:105] 【注意喚起】Jettyの脆弱性について (2025/05/08付アドバイザリ)

[学認事務局]

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Jettyプロジェクトより、2件の脆弱性(CVE-2025-1948, CVE-2024-13009)に関するアナウンスが公開されています。
本脆弱性の対象となるバージョンは次の通りです。該当するバージョンをお使いの場合はご注意ください。

(CVE-2025-1948)
- Jetty 12.0.0 - 12.0.16 のバージョン

(CVE-2024-13009)
- Jetty 9.4.0 - 9.4.56 のバージョン

以下のサイトなどで情報をご確認いただき、すみやかにアップデートを実施していただくことをお勧めいたします。

(Jettyプロジェクト)
- CVE-2025-1948
  - https://www.eclipse.org/lists/jetty-announce/msg00198.html
  - https://github.com/jetty/jetty.project/security/advisories/GHSA-889j-63jv-qhr8
- CVE-2024-13009
  - https://www.eclipse.org/lists/jetty-announce/msg00197.html
  - https://github.com/jetty/jetty.project/security/advisories/GHSA-q4rv-gq96-w7c5

関連して、2025/5/12にShibboleth IdP V5向けのJetty 12におけるWindowsインストーラーのアップデートリリースがありました。

詳細は下記リンク先をご参照ください。

- https://shibboleth.net/pipermail/announce/2025-May/000348.html



===========================================================
国立情報学研究所　学術基盤課　認証基盤・クラウド推進チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===========================================================

--