...
※ 例えば、2.6.0から2.6.1へのアップデートは自動的に再起動する模様。2.6.1にアップデート後、libxmltooling7のみをアップデートした場合は再起動されない模様。21にアップデート後、libxmltooling7のみをアップデートした場合は自動再起動されない模様。2.5.1から2.5.2へのアップデートはhttpdおよびshibdを自動的に再起動する模様。2.4.3から2.5.2へのアップデートでは再起動されない模様。2へのアップデートでは自動再起動されない模様。
注意点
RPMパッケージのミラーリングがおかしい場合はこちらをご参照ください。
2016-11-30 [upki-fed:01103] 【続報】Shibboleth SPパッケージ配布リポジトリの不具合について
...
SP 2.6.x からSP 2.6.x へのアップデートに関する情報
バージョンは変わっておりませんが、2.6.1リリース後にlibxmltooling7のセキュリティアップデートが出ていますので適宜アップデートしてください。これのみの適用の場合は自動再起動されませんので、shibdおよびhttpdを再起動してください。
バージョンは変わっておりませんが、2.6.0リリース後にCentOS 6/7(RHEL 6/7)向けにlibcurl-opensslのアップデートが出ていますので、適宜アップデートしてください。同様に、2.6.1リリース後にlibcurl-opensslのセキュリティアップデートが出ています。
https://marc.info/?l=shibboleth-announce&m=151205545006433&w=2
...
SP 2.5.x から SP 2.6.x へアップデートする場合の注意点
2.6.0でのセキュリティフィックスはXerces-Cライブラリについてのみ。
いくつか機能追加および運用改善オプション(後述する
...
ライブラリがlibsaml9およびlibxmltooling7にバージョンアップしています。不要なら以下のように以前のバージョンは削除してください。
...
その他の新機能:
exportDuplicateValues
template (base64-encoded SAML <AuthnRequest> message)
XERCES_DISABLE_DTD=1
警告 |
---|
この設定はCentOS 7では機能しないことが判明しました。Xercesライブラリのバージョンが3ここに書いていた手順は機能しないことが判明しました。CentOS 7については、Red Hatが提供している標準パッケージのXerces-Cライブラリのバージョンが3.1.4以上である必要があるがCentOS 7で提供されている(Red Hatが提供している標準パッケージ)が31である(2018年1月現在バックポートもされていない)ため、DTDを無効化するために必要なXerces-Cライブラリのバージョンが3.1.1である(2018年1月現在バックポートもされていない)ことが原因です。以下にCentOS 7向けの手順がありますがこの通りに実施しても有効にはなりませんのでご注意ください。誤った情報を提供しておりましたことをお詫びします。4以上であることを満たせません。 一方CentOS 6については、Shibboleth SP 2.6.0以上であれば自動的にDTD無効化されるため特殊な作業は必要ありません。 誤った情報を提供しておりましたことをお詫びします。 |
展開 | ||
---|---|---|
| ||
CentOS 6では、脆弱性の温床であるDTD形式での記述を一切処理しないようにすることができます。Shibbolethおよび学認では使用しておりませんので、セキュリティ強化のため是非この手順を実施してください。 実施するには、 |
...
title | CentOS 7については誤った情報のため削除の末尾に以下の行を加えます。(CentOS 7での手順は後述)
shibdおよびhttpdの再起動後に、以下のようなコマンドを使って当該環境変数が設定されていることを確認してください。
| ||||||||
---|---|---|---|---|---|---|---|---|---|
展開 | |||||||||
|
...