公開日:2018/03/01 最終更新日:2018/03/13
JVNVU#98536678
複数の SAML ライブラリに認証回避の脆弱性
複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。
- OneLogin - "python-saml" (CVE-2017-11427)
- OneLogin - "ruby-saml" (CVE-2017-11428)
- Clever - "saml2-js" (CVE-2017-11429)
- OmniAuth SAML (CVE-2017-11430)
- Shibboleth OpenSAML C++ (CVE-2018-0489)
不適切な認証 (CWE-287)
Security Assertion Markup Language (SAML) は主に SSO (Single Sign-On サービス) で使用される、認証や認可を行うための XML ベースのマークアップ言語です。
いくつかの SAML ライブラリでは、XML DOM トラバーサルや正規化の処理を行う API における XML データ中のコメントの扱い方に不整合な点があり、XML 署名検証で XML データの改ざんを検出できない可能性があります。
その結果、遠隔の攻撃者は、改ざんした SAML メッセージを使って SAML サービスプロバイダの認証を回避することが可能となります。
遠隔の第三者によって、SAML データの内容を XML 署名が無効にならない形で改ざんされ、SAML サービスプロバイダの第一段階の認証を回避される可能性があります。
アップデートする
本脆弱性に影響を受ける可能性がある SAML サービスプロバイダの方は、最新版の SAML ライブラリを使用するようにソフトウェアをアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| オープンソース・ソリューション・テクノロジ株式会社 | 該当製品無し | 2018/03/13 | オープンソース・ソリューション・テクノロジ株式会社 の告知ページ |
-
CERT/CC Vulnerability Note VU#475445
Multiple SAML libraries may allow authentication bypass via incorrect XML canonicalization and DOM traversal -
Duo Security
Duo Finds SAML Vulnerabilities Affecting Multiple Implementations -
Duo Security
DUO-PSA-2017-003: Duo Product Security Advisory -
Shibboleth Service Provider Security Advisory [12 January 2018]
Shibboleth Project
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
基本値:
5.0
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:M/Au:S/C:C/I:N/A:N
基本値:
6.3
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2017-11427 |
|
CVE-2017-11428 |
|
|
CVE-2017-11429 |
|
|
CVE-2017-11430 |
|
|
CVE-2018-0489 |
|
| JVN iPedia |
- 2018/03/13
- オープンソース・ソリューション・テクノロジ株式会社のベンダステータスが更新されました
