Viktigt! Shibboleth IdP v4.3.1 End-of-Life 1 september 2024
Denna information finns även publicerade som ett blogginlägg påhttps://wiki.sunet.se/display/SWAMID.
Inom SWAMID är det många organisationer som använder Shibboleth Identity Provider för organisationens SWAMID-kopplade identitetsutfärdare. Nu är det dags att uppgradera till en nyare huvudversion eftersom den tidigare huvudversionen går End-of-Life senare i år. Det är av säkerhetsskäl alltid viktigt att endast använda aktuella och underhållna versioner av programvara och detta är också ett krav i SWAMIDs teknologiprofiler. För er som använder Shibboleth Identity Provider finns det två sätt att hantera att näst senaste huvudversion blir End-of-Life, antingen genom att uppgradera till version 5, att byta till annan programvara än Shibboleth Identity Provider, t.ex. ADFS med ADFS Toolkit<https://wiki.sunet.se/display/SWAMID/How+to+consume+SWAMID+metadata+with+AD…>, eller att byta till Sunets nya tjänst eduID Connect* som lanseras senare i vår. Vilken väg ni än väljer så måste ni bli klara med detta absolut senast under november 2024 och genomför helst arbetet i god tid. Vi uppmanar er därför att aktivt delta på webinar och diskussionsmöten under våren.
Uppgraderingar av huvudversioner innebär alltid mer arbete än uppgradering inom samma huvudversion och det är därför särskilt viktigt att göra ett bra förberedelsearbete. SWAMID Operations kommer att ge er information om hur ni både förbereder och genomför uppgraderingen på ett bra sätt via webinar och öppna diskussionsmöten.
* eduID Connect är en avgiftsbelagd tjänst som använder eduID för användarkonton och ett administrativt gränssnitt för att koppla dessa till organisationen.
SWAMID finns som stöd i uppdateringen
För att underlätta arbetet med att uppdatera från äldre versioner kommer SWAMID Operations att genomföra två olika arrangemang, dels ett inledande webinar som beskriver uppdateringsprocessen och därefter öppna mötestillfällen varannan vecka under våren där vi hjälper varandra i uppdateringsprocessen. Detta betyder att vi inte kommer att ha något hackaton där alla gör jobbet på plats. Orsaken till detta är att vi alla har olika förutsättningar och är på olika plats i uppgraderingsprocessen redan nu.
Webinar om uppgradering till Shibboleth IdP v5<https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering…>
Syfte
Shibboleth Identity Provider version 4.3.1 går End-of-Life i början av september i år. För att uppgraderingsprocessen ska gå så smidigt som möjligt bjuder SWAMID Operations in till ett webinar där vi beskriver de olika stegen samt vad man behöver tänka på.
Målgrupp
Detta webinar vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgraderingen, vid SWAMIDs medlemsorganisationer.
Datum & tid
10.00 – 11.00 torsdagen den 11 april, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Talare
Paul Scott
Öppna diskussionsmöten om frågor som dyker upp på vägen<https://wiki.sunet.se/pages/viewpage.action?pageId=185139336>
Syfte
Som uppföljning till webinariet om uppgradering av Shibboleth Shibboleth Identity Provider version 4.3.1 bjuder SWAMID Operations till ett antal öppna möten där det är möjligt att få hjälp av SWAMID Operations och andra som genomför uppgraderingen.
Målgrupp
Dessa öppna möten vänder sig till er som är tekniskt ansvariga för Shibboleth-baserade identitetsutfärdare, eller kommer att genomföra uppgradering, vid SWAMIDs medlemsorganisationer.
Datum & tid
9.00 – 10.00 torsdagarna den 18 april, 2 maj, 16 maj, 30 maj och 13 juni, Zoom-länk: https://sunet.zoom.us/j/67204746559?pwd=T3VJNlQwOG9xYkRBeFFLQ0lYL1dRQT09
Vad händer om vi inte uppgraderar i tid?
I SWAMID teknologiprofil för SAML2 WebSSO<https://wiki.sunet.se/display/SWAMID/SAML+WebSSO+Technology+Profile> under avsnitt 5.4 finns kraven på den federativa programvaran för identitetsutfärdare beskriven och krav 5.4.11 definierar att medlemsorganisationer ej får använda programvara som inte längre underhålls eller innehåller kända säkerhetsproblem. Detta innebär att alla som idag använder Shibboleth IdP version 4 eller tidigare måste uppdatera innan 1 september 2024. Om inte uppdatering genomförs i god ordning kommer SWAMID Operations att föreslå SWAMID Board of Trustees att fatta beslut om att organisationens identitetsutfärdare avregistreras från SWAMID 2024-12-01. Detta kommer innebära, efter beslut har fattats, att organisationens användare inte kommer att kunna logga in i tjänster anslutna till SWAMID förrän uppgraderingen är gjord. Denna process beskrivs kortfattat i SWAMIDs policy<https://wiki.sunet.se/display/SWAMID/SWAMID+Policy#SWAMIDPolicy-SWAMIDFeder…> under avsnitt 6.3.
Viktigt om uppdateringsprocessen
Om ni inte redan använder Shibboleth 4.3.1 uppdatera till denna version! Detta för att både få rätt konfiguration och rätt varningsmeddelanden i loggar. Samma metod för uppdatering ska användas som nedan. Observera att varningsmeddelandet om stödet för eduPersonTargetId är felaktigt skrivet och är i avvecklat i version 5.
Shibboleth Consortium beskriver i release-notes för IdP v5, ReleaseNotes - Identity Provider 5<https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/ReleaseN…>, att befintliga konfigurationsfiler bara kan användas om uppgraderingen görs i befintlig installation. Följ anvisningarna och installera inte den nya versionen separat för att därefter försöka använda de gamla konfigurationsfilerna. IdP:n behöver istället uppgraderas "på plats" genom att använda en installationskatalog som innehåller en kopia av en tidigare fungerande konfiguration av V4.3.1.
Vidare skriver de att plugins behöver uppdateras innan själva IdP:n uppgraderas och att plugins också ska uppdateras efteråt. Detta eftersom stora interna förändringar skett mellan v4 och v5. Uppgradera och testa alla plugins innan IdP-uppgraderingen påbörjas, och uppdatera åter alla plugins efter IdP-uppgraderingen slutförts, innan IdP:n startas. Installationsprogrammet varnar om detta och rapporterar vilka plugins som behöver en uppdatering.
SWAMID Operations
Pål Axelsson och Paul Scott
Hej,
Idag den 22 mars hade vi årets första SWAMID Board of Trustees. Protokollet
är nu publicerat på
https://wiki.sunet.se/display/SWAMID/SWAMID+BoT+2024-03-22. Denna gång blev
fyra organisationers uppdaterade Identity Management Practice Statement
godkända. SWAMID Operations rapporterade om aktuell status för årets
tillitsprofilöversyn och tre övriga frågor lyftes. Korta sammanfattningar
finns i protokollet.
Pål
FYI
--
jocar
SWAMID Operations
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V4.3.2 now available
> Date: 21 March 2024 at 15:13:51 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project has released a patch release of the V4 Identity Provider branch, to address the security advisory issued yesterday [1] and a few other bug fixes and library updates.
>
> The software is now available from the usual place [2] and the release notes are updated [3].
>
> It is hoped that this will be the final V4 IdP release, pending any other security issues identified. Security maintenance and support will end Sept 1, 2024 as planned.
>
> -- Scott
>
> [1] https://shibboleth.net/community/advisories/secadv_20240320.txt
> [2] https://shibboleth.net/downloads/identity-provider/latest4/
> [3] https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631499/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
Här kommer en säkerhetsbulletin från Shibboleth. Björn skickade ut förra veckan.
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Cantor, Scott via announce <announce(a)shibboleth.net>
Skickat: den 20 mars 2024 13:47
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Ämne: Shibboleth Identity Provider Security Advisory [2024-03-20]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Shibboleth Identity Provider Security Advisory [20 March 2024]
CAS service URL handling vulnerable to Server-Side Request Forgery
==================================================================
The Identity Provider's CAS support relies on a function in the
Spring Framework to parse CAS service URLs and append the ticket
parameter. Spring published an advisory regarding this function
and re-opened the advisory again after their latest release. [1]
Updates for both supported branches of the IdP are being provided
to update the Spring Framework version to address the issue.
Those not using the IdP's CAS protocol support are not impacted
by this issue, though all are encouraged to upgrade at their next
opportunity.
Affected Versions
=================
The Spring Framework bug is found in the versions outlined by
their advisory [1].
This implicates Identity Provider versions < 5.1.1 and < 4.3.2
when CAS is in use.
Recommendations
===============
Upgrade to Identity Provider V5.1.1 or later.
Upgrade to Identity Provider V4.3.2 or later (once available).
References
==========
URL for this Security Advisory
http://shibboleth.net/community/advisories/secadv_20240320.txt
[1] https://spring.io/security/cve-2024-22259
-----BEGIN PGP SIGNATURE-----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=gO7B
-----END PGP SIGNATURE-----
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
Hej,
På Sunetdagarna nu i höst informerade vi om att SWAMIDs gamla
testfederation kommer att avvecklas och ersättas av SWAMIDs QA-federation.
QA-federationen finns på plats redan idag med samma uppsättnings verktyg
som i SWAMIDs produktionsfederation.
SWAMIDs testfederation kommer att stängas av vid halvårsskiftet 2024.
Nyregistreringar i SWAMIDs testfederation är inte längre tillåtna!
Adresser till verktyg i SWAMIDs QA-miljö:
- Metadataverktyget: https://metadata.qa.swamid.se/
- Metadata via MDQ (nya modellen): https://mds.swamid.se/qa/
- Metadata via aggregat (gamla modellen): https://mds.swamid.se/qa/md/
- Hänvisningstjänst: https://ds.qa.swamid.se/ds
- Release-check: https://release-check.qa.swamid.se/.
SWAMIDs alla instruktioner för både identitetsutfärdare och tjänster går
att använda men ni behöver byta aktuella URLar enligt ovan i
konfigurationsfilerna.
Pål Axelsson
Hej,
Jag tycker det är lite lång svarstid från operation@ på det senaste. Har jag hamnat i nåt spamfilter (igen) eller är jag bara bortskämd? :)
/Björn
Hej,
För er som använder Shibboleth IdP OIDC RP Plugin...
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Philip Smart via announce <announce(a)shibboleth.net>
Skickat: den 19 mars 2024 17:09
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Kopia: Philip Smart <Philip.Smart(a)jisc.ac.uk>
Ämne: OIDC Relying Party Authentication Proxy v2.0.1 now available
The Shibboleth Project is pleased to announce V2.0.1 of the OIDC Relying Party (RP) authentication plugin (see the documentation at [1] and the release notes at [2]).
This latest release addresses a problem in V2.0.0 where an internal IdP jar file was inadvertently included in the plugin's distribution. This caused potential conflicts with the IdP's classpath, making it difficult for users (who use this plugin) to upgrade to newer versions of the IdP from version 5.0.0.
Version 1.x of the RP, compatible with version 4.x of the IdP, is not affected by this issue.
-- Phil Smart, on behalf of the team
[1] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3013804089/OI…
[2] https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/3239968769/OI…
Jisc is a registered charity (number 1149740) and a company limited by guarantee which is registered in England under company number. 05747339, VAT number GB 197 0632 86. Jisc’s registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Services Limited is a wholly owned Jisc subsidiary and a company limited by guarantee which is registered in England under company number 02881024, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
Jisc Commercial Limited is a wholly owned Jisc subsidiary and a company limited by shares which is registered in England under company number 09316933, VAT number GB 197 0632 86. The registered office is: 4 Portwall Lane, Bristol, BS1 6NB. T 0203 697 5800.
For more details on how Jisc handles your data see our privacy notice here: https://www.jisc.ac.uk/website/privacy-notice
För kännedom.
Viktigast är nog uppdateringen av 4.3.1 -> 4.3.2 för er som kör CAS.
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via alert" <alert(a)shibboleth.net>
> Subject: Spring bug necessitates IdP patches
> Date: 14 March 2024 at 15:04:32 CET
> To: "alert(a)shibboleth.net" <alert(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: alert(a)shibboleth.net
>
> FYI,
>
> There's a Spring bug [1] I reviewed a while ago that I mis-triaged, we have a limited exposure to it in the CAS support in the IdP.
>
> They re-opened that bug/advisory just now and patched Spring 6.1 again, which we missed by a day so unfortunately we have to issue a 5.1.1 to pick that up, but more impactfully I guess, we'll need to prepare a 4.3.2 patch to update Spring 5.3 there.
>
> It's probably good I overlooked it as it's not terribly serious and it would have required a second patch round anyway since they didn't fully fix it before.
>
> Anyway, we will get a 5.1.1 out pretty quickly and then take a bit of time to issue the 4.3.2 update so we can make that the (hopefully) final rollup of V4 that we weren't planning on doing.
>
> If you don't use the CAS support, you have no exposure to this. Even if you do it's likely not very big a deal but there is probably some risk of a redirection/SSRF attack out of the IdP.
>
> -- Scott
>
> [1] https://spring.io/security/cve-2024-22259
>
> --
> To unsubscribe from this list send an email to alert-unsubscribe(a)shibboleth.net
Hej,
Här kommer information om att Shibboleth IdP 5.1.0 har släppts idag.
Pål
________________________________
Från: announce <announce-bounces(a)shibboleth.net> för Cantor, Scott via announce <announce(a)shibboleth.net>
Skickat: den 13 mars 2024 15:17
Till: announce(a)shibboleth.net <announce(a)shibboleth.net>
Kopia: Cantor, Scott <cantor.2(a)osu.edu>
Ämne: Shibboleth Identity Provider V5.1.0 now available
The Shibboleth Project is pleased to announce that V5.1.0 of the Identity Provider software, the first significant update to the 5.x branch, is now available.
The native and Windows installation packages are in the usual place [1] and the Release Notes are at [2]. The list of changes is a bit more lengthy than some updates, so we strongly advise reviewing them before proceeding and while testing.
Notably the new TLS defaults and CSP additions, some of which are active by default, may be of relevance in some unusual cases.
As is standard practice, V5.0.0 becomes unsupported with this release so any future security patches will be on the 5.1 branch.
Thanks,
-- Scott
[1] https://shibboleth.net/downloads/identity-provider/latest5/
[2] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/
--
To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
För kännedom.
Se även
https://wiki.sunet.se/display/SWAMID/SWAMID+Webinar+11+april+-+Uppgradering…
// Björn M.
> Begin forwarded message:
>
> From: "Cantor, Scott via announce" <announce(a)shibboleth.net>
> Subject: Shibboleth Identity Provider V5.1.0 now available
> Date: 13 March 2024 at 15:17:53 CET
> To: "announce(a)shibboleth.net" <announce(a)shibboleth.net>
> Cc: "Cantor, Scott" <cantor.2(a)osu.edu>
> Reply-To: users(a)shibboleth.net
>
> The Shibboleth Project is pleased to announce that V5.1.0 of the Identity Provider software, the first significant update to the 5.x branch, is now available.
>
> The native and Windows installation packages are in the usual place [1] and the Release Notes are at [2]. The list of changes is a bit more lengthy than some updates, so we strongly advise reviewing them before proceeding and while testing.
>
> Notably the new TLS defaults and CSP additions, some of which are active by default, may be of relevance in some unusual cases.
>
> As is standard practice, V5.0.0 becomes unsupported with this release so any future security patches will be on the 5.1 branch.
>
> Thanks,
> -- Scott
>
> [1] https://shibboleth.net/downloads/identity-provider/latest5/
> [2] https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199500367/
>
>
> --
> To unsubscribe from this list send an email to announce-unsubscribe(a)shibboleth.net
