...
- 2.5.6(*) [upki-fed:01018] Shibboleth SPの脆弱性について(2016.2.26) (CVE-2016-0729)
(情報整理中)
本件はXerces-Cライブラリの脆弱性ですので当該ライブラリのアップデートのみでも対処可能です。またディストリビューションのアップデート提供時期によっては当該ライブラリのアップデート提供時期が後になることが考えられます。その場合自動再起動が行われませんので、上記手順に従って再起動(もしくはOS自体の再起動)を必ず行ってください。 - 2.5.5(*) [upki-fed:00950] Shibboleth SP の脆弱性について (2015/7/21) (CVE-2015-2684)
(情報整理中) 2.5.4(*) [upki-fed:00923] Shibboleth SP の脆弱性について (2015/3/19) (CVE-2015-0252)
展開 title mod_shibのログのデフォルト出力先の変更 2.5.4からmod_shibのログのデフォルト出力先が /var/log/httpd/{native.log,native_warn.log} から /var/log/shibboleth-www/{native.log,native_warn.log} に変更になっています。
- 2.5.0での修正点に見落としがありましたので、下のほうに追記しました。当該warningが気になる人は対処してください。⇒2.5.0のshibboleth2.xml
(情報整理中)
2.5.2(*) Shibboleth SP heap overflow processing InclusiveNamespace PrefixList (CVE-2013-2156)
展開 title (shib.confを修正して使っている方向け)shib.confの変更点 2.5.2において/etc/httpd/conf.d/shib.confに以下の追加が行なわれておりますが、shib.confを修正している場合は反映されません。必要に応じてshib.confを修正してください。
なお、サイト全体にBASIC認証等で制限をかけている場合を除いてこれによる影響はないと思われます。パネル #
LoadModule mod_shib /usr/lib64/shibboleth/mod_shib_22.so
#
# Ensures handler will be accessible.
#
<Location /Shibboleth.sso>
Satisfy Any
Allow from all
</Location>
#
# Used for example style sheet in error templates.
#
<IfModule mod_alias.c>
<Location /shibboleth-sp>
Satisfy Any
Allow from all
</Location>- 2.5.1(*)
...
logoLocation="/shibboleth-sp/logo.jpg"
また、以前からのshibboleth2.xml
をそのまま使っている場合は2.5.0以降では以下の警告が表示されるようになります。
書式設定済み |
---|
2012-10-13 18:54:49 WARN Shibboleth.AttributeExtractor.XML : attribute mappings are reloadable; be sure to restart web server when adding new attribute IDs |
attribute-map.xml
の読み込み部分にreloadChanges="false"
を付けるとよいです。こうすることでattribute-map.xml
の修正時に反映するには再起動が必要になりますが、元々そうすべきでした(そのほうが安全です)。
コード ブロック | ||
---|---|---|
| ||
</MetadataProvider>
<!-- Map to extract attributes from SAML assertions. -->
- <AttributeExtractor type="XML" validate="true" path="attribute-map.xml"/>
+ <AttributeExtractor type="XML" validate="true" reloadChanges="false" path="attribute-map.xml"/>
<!-- Use a SAML query if no attributes are supplied during SSO. -->
<!-- |
詳細: Default Reloading of Attribute Mappings Disabled - NativeSPConfigurationChanges - Shibboleth Wiki
shib.conf
静的ファイルの1つ、Shibbolethロゴが削除された影響のもう1つです。
/etc/httpd/conf.d/shib.conf を修正して使っていた方は、shib.conf.rpmnew というファイルが新たに作成されていると思います。差分を確認し(下記の行は削除して問題ありません)必要があれば修正の上、shib.confを置き換えてください。
...
- Shibboleth SP 2.5.0からの新機能
展開 title その他未整理の情報 PKCS#1.5使えなくなった - /etc/shibboleth/security-policy.xml
<AlgorithmBlacklist includeDefaultBlacklist="true"/>
新機能Metadata Attribute Extractor non-ASCIIでエラー SSPCPP-547
_shibsession_* cookie HttpOnlyが付くようになった
_shibstate_* 時限付き
acl ::1入った
helpLocation="/about.html"
cookieProps書式変更
handlerSSL="true"
shibboleth2.xmlの書式エラーでhttpdが起動しなくなった?
/var/log/httpd/native.log, native_warn.logが記録されるようになる2012-08-08 04:35:19 CRIT XMLTooling.Logging : error in file permissions or logging configuration: exception creating appender: failed to open log file (/var/log/httpd/native.log)
2012-08-08 04:35:19 CRIT Shibboleth.Config : failed to load new logging configuration from (native.logger)https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfigurationChanges
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPInterestingFeatures
requireAuthenticatedEncryption signResponse="conditional"にしないとopensaml::FatalProfileException at (https://HOSTNAME/Shibboleth.sso/SAML2/POST)
A valid authentication statement was not found in the incoming message.ログには以下が記録される。
2012-10-14 09:26:14 ERROR Shibboleth.SSO.SAML2 [7]: failed to decrypt assertion: Unauthenticated data encryption algorithm unsupported.
2012-10-13 18:54:49 WARN Shibboleth.PropertySet : deprecation - remapping property (relayStateLimit) to (redirectLimit)
2012-10-13 18:54:49 WARN Shibboleth.Application : empty/missing cookieProps setting, set to "https" for SSL/TLS-only usage
2012-10-13 18:54:49 WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
2012-10-13 18:54:49 WARN Shibboleth.AttributeExtractor.XML : attribute mappings are reloadable; be sure to restart web server when adding new attribute IDs
以前の情報
SPアップデート手順(*はセキュリティフィックス)
...