no way to compare when less than two revisions
差分
この文書の現在のバージョンと選択したバージョンの差分を表示します。
| — | support:am2018-2-1 [2018/03/06 05:24] (現在) – 作成 tonoki | ||
|---|---|---|---|
| 行 1: | 行 1: | ||
| + | ====== SAMLライブラリ の脆弱性(JVNVU# | ||
| + | |||
| + | ===== SAMLライブラリ の脆弱性(JVNVU# | ||
| + | |||
| + | JPCERT/ | ||
| + | |||
| + | __**OpenAMはこの脆弱性に該当しない事を確認いたしました。**__ | ||
| + | |||
| + | 脆弱性の詳細を以下に説明します。 | ||
| + | |||
| + | 複数の SAML ライブラリに認証回避の脆弱性 | ||
| + | * [[https:// | ||
| + | |||
| + | 複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。 | ||
| + | |||
| + | 本脆弱性の影響を受けるシステムは、以下のライブラリを利用しているシステムです。 | ||
| + | |||
| + | * ● OneLogin - " | ||
| + | * ● OneLogin - " | ||
| + | * ● Clever - " | ||
| + | * ● OmniAuth SAML (CVE-2017-11430) | ||
| + | * ● Shibboleth OpenSAML C++ (CVE-2018-0489) | ||
| + | |||
| + | OpenAMでは該当のSAMLライブラリを利用しておりません。 | ||
| + | |||
| + | また、OpenAM内部SAML処理においては同様の脆弱性が無いことを確認しております。 | ||
| + | |||
| + | |||
| + | ===== 対策 ===== | ||
| + | |||
| + | OpenAMは、対処の必要はありません。 | ||
| + | |||
| + | OpenAMは本脆弱性を含みませんが、Shibboleth-SP等のサードパーティ製 | ||
| + | SAML-SPソフトウェアは影響を受ける可能性があります。 | ||
| + | 調査および対処を行って下さい。 | ||
| + | |||
© 2024 Open Source Solution Technology Corporation,
All Rights Reserved.
お問い合わせ: info @ osstech.co.jp
お問い合わせ: info @ osstech.co.jp