Groups
Groups
Sign in
Groups
Groups
学認情報交換メーリングリスト過去ログ(2024年3月28日~)
Conversations
About
Send feedback
Help
[upki-fed:142] 【注意喚起】Shibboleth IdPの脆弱性について(2026/5/13付アドバイザリ)
61 views
Skip to first unread message
学認事務局
unread,
May 21, 2026, 12:31:01 AM
May 21
Reply to author
Sign in to reply to author
Forward
Sign in to forward
Delete
You do not have permission to delete messages in this group
Copy link
Report message
Show original message
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message
to idp-c...@nii.ac.jp, upki...@nii.ac.jp, gakunin...@nii.ac.jp
IdP運用担当者 各位
学認情報交換ML参加者 各位
国立情報学研究所 学認事務局です。
平素より学認の運営にご協力を賜り、ありがとうございます。
Shibboleth Projectから、Shibboleth
IdPに関連した複数の脆弱性についてのセキュリティアドバイザリが3件公開されています。[1][2][3]
本セキュリティアドバイザリには下記の2件の脆弱性情報が含まれています。
1. Maliciously crafted XML causes excessive resource consumption [1][2]
- Shibboleth IdPおよびOpenSAMLライブラリに関する脆弱性です。
- 本脆弱性のSeverityは moderate となっています。[4]
2. Injection vulnerability in SMTP Library included with IdP (CVE-2025-7962) [3]
- Shibboleth IdPに同梱されているJakarta Mailライブラリの脆弱性です。
- SMTP Appenderを利用したログ設定をしている場合に対象になります。
- 本脆弱性のSeverityは low となっています。[4]
以下を参考に、影響をご確認いただき、該当する場合は速やかに対策を実施してください。
影響
====
本脆弱性の対象となるバージョンは次の通りです。
- Shibboleth IdP V5.2.2より前のバージョン (V5.2.2を含まない)
各脆弱性について、学認技術ガイド[5]に従って構築された標準的なIdPへの影響は下記の通りです。
- 1の脆弱性については影響を受ける可能性があります。
- 2の脆弱性については影響を受けません。
対策
====
Shibboleth IdPを最新のバージョンV5.2.2へアップデートしてください。[6][7]
参考情報
========
[1]
https://shibboleth.net/community/advisories/secadv_20260513.txt
[2]
https://shibboleth.net/community/advisories/secadv_20260513a.txt
[3]
https://shibboleth.net/community/advisories/secadv_20260513b.txt
[4]
https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199512795/SecurityAdvisories#Advisory-List
[5]
https://nii-auth.atlassian.net/wiki/x/JoKlAg
[6]
https://shibboleth.net/pipermail/announce/2026-May/000382.html
[7] 学認に関する情報共有スペース(GakuNinShare)に有志によるIdPv5アップデートに関する情報がまとまっておりますので適宜ご参照ください。
https://nii-auth.atlassian.net/wiki/x/pouhAg
===========================================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:
https://www.gakunin.jp/contact
===========================================================
--
Reply all
Reply to author
Forward
0 new messages