[upki-fed:142] 【注意喚起】Shibboleth IdPの脆弱性について(2026/5/13付アドバイザリ)

61 views
Skip to first unread message

学認事務局

unread,
May 21, 2026, 12:31:01 AMMay 21
to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
学認情報交換ML参加者 各位

国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。

Shibboleth Projectから、Shibboleth
IdPに関連した複数の脆弱性についてのセキュリティアドバイザリが3件公開されています。[1][2][3]

本セキュリティアドバイザリには下記の2件の脆弱性情報が含まれています。

1. Maliciously crafted XML causes excessive resource consumption [1][2]
- Shibboleth IdPおよびOpenSAMLライブラリに関する脆弱性です。
- 本脆弱性のSeverityは moderate となっています。[4]
2. Injection vulnerability in SMTP Library included with IdP (CVE-2025-7962) [3]
- Shibboleth IdPに同梱されているJakarta Mailライブラリの脆弱性です。
- SMTP Appenderを利用したログ設定をしている場合に対象になります。
- 本脆弱性のSeverityは low となっています。[4]


以下を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施してください。


影響
====
本脆弱性の対象となるバージョンは次の通りです。

- Shibboleth IdP V5.2.2より前のバージョン (V5.2.2を含まない)

各脆弱性について、学認技術ガイド[5]に従って構築された標準的なIdPへの影響は下記の通りです。

- 1の脆弱性については影響を受ける可能性があります。
- 2の脆弱性については影響を受けません。


対策
====
Shibboleth IdPを最新のバージョンV5.2.2へアップデートしてください。[6][7]


参考情報
========
[1] https://shibboleth.net/community/advisories/secadv_20260513.txt
[2] https://shibboleth.net/community/advisories/secadv_20260513a.txt
[3] https://shibboleth.net/community/advisories/secadv_20260513b.txt
[4] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199512795/SecurityAdvisories#Advisory-List
[5] https://nii-auth.atlassian.net/wiki/x/JoKlAg
[6] https://shibboleth.net/pipermail/announce/2026-May/000382.html
[7] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv5アップデートに関する情報がまとまっておりますので適宜ご参照ください。
https://nii-auth.atlassian.net/wiki/x/pouhAg



===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://www.gakunin.jp/contact
===========================================================

--

Reply all
Reply to author
Forward
0 new messages