CA20130319-01 : SAML を使用する CA SiteMinder 製品のセキュリティに関するお知らせ

Document created by shunsuke_katakura Employee on Jul 30, 2015
Version 1Show Document
  • View in full screen mode

公開日:2013年3月19日
日本での公開日:2013年3月25日

CA20130319-01 : SAML を使用する CA SiteMinder 製品のセキュリティに関するお知らせ

 

 

CA Technologies は、Security Assertion Markup Language (SAML) を実装している CA SiteMinder 製品にセキュリティに関する潜在的なリスクがあることをお知らせいたします。これらの脆弱性が存在することにより、リモートの攻撃者が追加特権を取得する ことが可能となります。

脆弱性 CVE-2013-2279 は、 SAML ステートメントの XML シグニチャの検証に関係しています。攻撃者はシングル サインオン システムで他のユーザのふりをするために様々な攻撃を行うことができます。


リスクの程度


プラットフォーム

すべてのプラットフォーム


影響を受ける製品

CA SiteMinder Federation (FSS) 12.5
CA SiteMinder Federation (FSS) 12.0
CA SiteMinder Federation (FSS) r6
CA SiteMinder Federation (Standalone)(1) 12.1
CA SiteMinder Federation (Standalone) 12.0
CA SiteMinder Agent for SharePoint 2010
CA SiteMinder for Secure Proxy Server 12.5
CA SiteMinder for Secure Proxy Server 12.0
CA SiteMinder for Secure Proxy Server 6.0

(1)CA Federation Manager は、CA SiteMinder Federation (Standalone) に名称を変更しました。

影響を受けない製品

 

CA SiteMinder Federation (FSS) 12.5 CR2
CA SiteMinder Federation (FSS) 12.0 SP3 CR12
CA SiteMinder Federation (FSS) r6 SP6 CR10
CA SiteMinder Federation (Standalone) 12.5
CA SiteMinder for Secure Proxy Server 12.5 CR2
CA SiteMinder Agent for SharePoint 2010 SP1
CA SiteMinder Web Access Manager, Federation 機能を使用していない場合すべてのリリース

 

この脆弱性の影響を受けるかどうかの判断方法

インストールしているリリースの確認は、Web エージェントのログもしくはインストール ログをご確認ください。ただし、“webagent.log” というファイル名は、SiteMinder 管理者によって変更可能ですのでご注意ください。解決策セクションに記載されている修正済みのリリースより古いリリースをお使いの場合は、脆弱性がありま す。

製品を SAML 1.1、SAML 2.0、WS-Federation プロトコルと使用されている場合、この脆弱性の影響を受けやすくなります。


解決策

この脆弱性に対応する以下のパッチを公開しています。修正モジュールは、すべて CA Technologies のサポート サイトにある Download Center から入手いただけます。

影響を受けるリリース修正されているリリース
CA SiteMinder Federation (FSS) 12.5CA SiteMinder Federation (FSS) 12.5 CR2
CA SiteMinder Federation (FSS) 12.0CA SiteMinder Federation (FSS) 12.0 SP3 CR12
CA SiteMinder Federation (FSS) r6CA SiteMinder Federation (FSS) r6 SP6 CR10
CA SiteMinder Federation (Standalone) 12.1CA SiteMinder Federation (Standalone) 12.5
CA SiteMinder Federation (Standalone) 12.0CA SiteMinder Federation (Standalone) 12.5
CA SiteMinder Agent for SharePoint 2010CA SiteMinder Agent for SharePoint 2010 12.5.1
CA SiteMinder for Secure Proxy Server 12.5CA SiteMinder for Secure Proxy Server 12.5 CR2
CA SiteMinder for Secure Proxy Server 12.0CA SiteMinder for Secure Proxy Server 12.5 CR2
CA SiteMinder for Secure Proxy Server 6.0CA SiteMinder for Secure Proxy Server 12.5 CR2

 

 

今回の修正で、アサーションと他のサイン済み XML メッセージの妥当性を追加で確認するようになったことにより、既存パートナーが送るアサーションが妥当性検査にひっかかってしまう可能性も考えられます。 その場合、パートナーに問題を修正してもらうことを推奨します。それが難しく、かつ改善されたシグネチャの検証を無効化するリスクを受け入れられる場合 は、以下の手順で無効化することができます。

  1.   以下の xsw.properties を開きます 
    (A) smtracedefault.log ファイルにエラー メッセージがでている場合:
    federation_mgr_home/siteminder/config/properties
    (B) fwstrace.log ファイルにエラーメッセージがでている場合:
    federation_mgr_home/secure-proxy/tomcat/webapps/affwebservices/web-INF/classes
  2. 以下の設定を追加します。どちらも true に設定してください。
    DisableXSWCheck=true
    シグニチャの脆弱性確認を無効にします。ポリシーサーバ(A) にのみ適用します。
    DisableUniqueIDCheck=true
    重複する ID のチェックを無効にします。この変更は(A)、(B) 両方で行う必要があります。

回避策

SAML 1.1 及び SAML 2.0 のアーティファクト トランザクションは影響を受けませんのでご注意ください。これは、アサーションのコンテンツを保護するためにSSL トランスポート レイヤ セキュリティが使用されているためです。

SAML 1.1 及び SAML 2.0 POST が使われたときの発覚を減らすために、必ず、アサーションにサインし、暗号化するようにしてください。かつアサーションのサインに使用するキーは、公に利 用可能になっている他のもの(メタデータなど)のサインに使用されていないものをご利用ください。この設定であれば、暗号化によって、サインされたブロッ クを隠すことができるため、アサーションに脆弱性はありません。また攻撃者は代理攻撃に使用する有効なサイン済み XML ブロックを取得できません。ご使用中のシグニチャが信頼できるかどうかの判断が難しいため、本脆弱性への対応にはアップグレードを強くお勧めしています。


リファレンス

CVE-2013-2279

" Breaking SAML: Be Whoever You Want to Be", USENIX Security 2012; Juraj Somorovsky, Andreas Mayer, Jörg Schwenk, Marco Kampmann, Meiko Jensen

 

変更履歴

バージョン 1.0:初回リリース

さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com)までご連絡ください。 弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。

Attachments

    Outcomes