差分

この文書の現在のバージョンと選択したバージョンの差分を表示します。

この比較画面にリンクする

support:am2018-2-1 [2018/03/06 14:24] (現在)
tonoki 作成
ライン 1: ライン 1:
 +====== SAMLライブラリ の脆弱性(JVNVU#​98536678)について [AM20180306-1] ======
 +
 +===== SAMLライブラリ の脆弱性(JVNVU#​98536678) のお知らせ =====
 +
 +JPCERT/​CCよりJVNVU#​98536678が公表されましたが、
 +
 +__**OpenAMはこの脆弱性に該当しない事を確認いたしました。**__
 +
 +脆弱性の詳細を以下に説明します。
 +
 +複数の SAML ライブラリに認証回避の脆弱性
 +  * [[https://​jvn.jp/​vu/​JVNVU98536678/​|https://​jvn.jp/​vu/​JVNVU98536678/​]]
 +
 +複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。
 +
 +本脆弱性の影響を受けるシステムは、以下のライブラリを利用しているシステムです。
 +
 +  * ● OneLogin - "​python-saml"​ (CVE-2017-11427)
 +  * ● OneLogin - "​ruby-saml"​ (CVE-2017-11428)
 +  * ● Clever - "​saml2-js"​ (CVE-2017-11429)
 +  * ● OmniAuth SAML (CVE-2017-11430)
 +  * ● Shibboleth OpenSAML C++ (CVE-2018-0489)
 +
 +OpenAMでは該当のSAMLライブラリを利用しておりません。
 +
 +また、OpenAM内部SAML処理においては同様の脆弱性が無いことを確認しております。
 +
 +
 +===== 対策 =====
 +
 +OpenAMは、対処の必要はありません。
 +
 +OpenAMは本脆弱性を含みませんが、Shibboleth-SP等のサードパーティ製
 +SAML-SPソフトウェアは影響を受ける可能性があります。
 +調査および対処を行って下さい。
 +
  
© 2018 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp