ここ数日にわかに盛り上がっていたSAMLの実装における脆弱性ですが、ADFSでは問題が発生しないことが報告されていました。
Latest SAML Vulnerability : Not present in Azure AD and ADFS – Enterprise Mobility + Security
脆弱性の詳細は以下に詳しく述べられているのですが、要するにSAMLデータを処理するXMLパーサーがコメントをどのように取り扱うかが今回の脆弱性の肝のようです。
JVNVU#98536678: 複数の SAML ライブラリに認証回避の脆弱性
Duo Finds SAML Vulnerabilities Affecting Multiple Implementations | Duo Security
ざっと読んでみると、複数のSAMLプロバイダがShibbolethの実装方式に合わせて実装を行っていたので影響が局所化しなかった。という感じでしょうか。
マイクロソフトはいつもながら独自実装を行っていたため事なきを得た形ですね。
今回の件ではスタンダードな実装が問題で、仕様側の問題ではなかったのですが、Meltdownのように仕様側が問題になるケースもあります。
いずれにしても昨日までは良かったものが今日には危険になる。というのが身近に起きるということは忘れてはならない現実かと思います。
こういった問題が目の当たりになるのをみると、Windows10の常にセキュリティパッチを提供していくというスタンスは的を射た回答なのかもしれません。
今一度自分の周りで問題をはらんだケースがないか、確認、検討をしておきたいですね。
音楽:アスラ実体化