SAMLライブラリ の脆弱性(JVNVU#98536678)について [AM20180306-1]

JPCERT/CCよりJVNVU#98536678が公表されましたが、

OpenAMはこの脆弱性に該当しない事を確認いたしました。

脆弱性の詳細を以下に説明します。

複数の SAML ライブラリに認証回避の脆弱性

• https://jvn.jp/vu/JVNVU98536678/

複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。

本脆弱性の影響を受けるシステムは、以下のライブラリを利用しているシステムです。

• ● OneLogin - "python-saml" (CVE-2017-11427)
• ● OneLogin - "ruby-saml" (CVE-2017-11428)
• ● Clever - "saml2-js" (CVE-2017-11429)
• ● OmniAuth SAML (CVE-2017-11430)
• ● Shibboleth OpenSAML C++ (CVE-2018-0489)

OpenAMでは該当のSAMLライブラリを利用しておりません。

また、OpenAM内部SAML処理においては同様の脆弱性が無いことを確認しております。

OpenAMは、対処の必要はありません。

OpenAMは本脆弱性を含みませんが、Shibboleth-SP等のサードパーティ製 SAML-SPソフトウェアは影響を受ける可能性があります。 調査および対処を行って下さい。