いつも弊社製品をご愛顧賜り誠にありがとうございます。
2018年2月27日に公開された「SAML」を使った複数のシングルサインオン(SSO)サービスに脆弱性が存在する可能性がある問題について弊社サービスへの影響を調査した結果をご報告します。
■影響結果
Shopらんにて利用しているSAMLライブラリには脆弱性は存在しません。安心してご利用いただけます。
■脆弱性の内容
複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。
■参考情報
https://www.kb.cert.org/vuls/id/475445
https://jvn.jp/vu/JVNVU98536678/