...
/opt/shibboleth-idp/
の下にold-2016MMDD-XXXX/
というようなディレクトリが作成されるようですが、運用には不要です。書式設定済み # ls /opt/shibboleth-idp/old-20160509-0810/ bin/ dist/ doc/ system/ webapp/
uApproveJPをインストールしている場合は
system/
以下の修正が元に戻っているはずなのでアップデートの後再修正が必要。
IdP 3.2.x から IdP 3.3.x へアップデートする場合の注意点
メッセージファイルのファイル構成が変更されています。旧構成でも新機能を使わない限り運用可能ですが、新構成に切り替えるにはservices.xml
のshibboleth.MessageSourceResources
を/opt/shibboleth-idp/dist/conf/services.xml.dist
を参考に更新してください。
3.3.0以降向けの日本語メッセージファイルも Shibboleth IdP 3 - メッセージの多言語化 のリンク先から提供予定です。
3.2.1およびそれ以前で脆弱性が発見されていた<ResultCache>要素について修正されましたので、LDAP result caching機能が必要な方は再度有効化してください。
2016-11-21 [upki-fed:01087] 【補足情報】【注意喚起】Shibboleth IdPの脆弱性について
また、上記メールに記載がありますが、3.2.1およびそれ以前で以下のログが記録されしばらくすると認証処理がストップする(通信環境が不安定な場合にロックする)という問題にも対処が入っておりますので、この問題に遭遇されていた方は今一度ご確認ください。
書式設定済み |
---|
2016-09-13T08:37:30.402+01:00 - WARN [org.ldaptive.AbstractOperation$ReopenOperationExceptionHandler:277] - Operation exception encountered, reopening connection |
その他の情報
Tomcatの脆弱性およびそれに関連してyumパッケージのパーミション修正が不完全な件が流れています。
2016-11-21 [upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
IdP 3.2.x から IdP 3.2.x へアップデートする場合の注意点
四半期に一度のペースでJava(OpenJDKおよびOracle JDK)のセキュリティアップデートがリリースされています。
2016-05-16 [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
今回の内容としては、JMXポートの脆弱性、毎回恒例の暗号系の改善(GCM, DSA)、MD5withRSAの拒否、(今回のものではありませんが)OpenJDK 7のECC対応、など。
JVMヒープサイズの推奨値が1.5GBに上方修正されておりますので、適宜自動スクリプトを更新してください。
2016-05-16 [upki-fed:01048] Re: Shibboleth IdP実行環境におけるJVMのヒープサイズについて
古いJavaを使っているとメタデータ取得に失敗するという情報がありました。
2015-08-21 [upki-fed:00954] 最新のJava(Oracle JDK/OpenJDK)を使った場合のメタデータ取得エラー
...