SAMLライブラリ の脆弱性(JVNVU#98536678)について [AM20180306-1]

SAMLライブラリ の脆弱性(JVNVU#98536678) のお知らせ

JPCERT/CCよりJVNVU#98536678が公表されましたが、

OpenAMはこの脆弱性に該当しない事を確認いたしました。

脆弱性の詳細を以下に説明します。

複数の SAML ライブラリに認証回避の脆弱性

複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。

本脆弱性の影響を受けるシステムは、以下のライブラリを利用しているシステムです。

  • ● OneLogin - "python-saml" (CVE-2017-11427)
  • ● OneLogin - "ruby-saml" (CVE-2017-11428)
  • ● Clever - "saml2-js" (CVE-2017-11429)
  • ● OmniAuth SAML (CVE-2017-11430)
  • ● Shibboleth OpenSAML C++ (CVE-2018-0489)

OpenAMでは該当のSAMLライブラリを利用しておりません。

また、OpenAM内部SAML処理においては同様の脆弱性が無いことを確認しております。

対策

OpenAMは、対処の必要はありません。

OpenAMは本脆弱性を含みませんが、Shibboleth-SP等のサードパーティ製 SAML-SPソフトウェアは影響を受ける可能性があります。 調査および対処を行って下さい。

© 2018 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp