異なるドメイン間での認証連携規格﹁SAML﹂を使った複数のシングルサインオン︵SSO︶サービスに脆弱性が発見され、米セキュリティ機関CERT/CCが2月27日に脆弱性情報を公開した。 CERT/CCによると、この脆弱性を悪用された場合、リモートの攻撃者によってSAMLコンテンツが改ざんされ、SAMLサービスプロバイダーの認証をかわされてしまう恐れがある。 この問題は、SSOツールなどを提供するDuo Securityが発見した。2月27日の時点で、同社の﹁Duo Network Gateway︵DNG︶﹂のほか、OneLoginの﹁python-saml﹂﹁ruby-saml﹂、Cleverの﹁saml2-js﹂など、複数のベンダーのSAML処理ライブラリで脆弱性が確認されている。 CERT/CCの脆弱性情報では、CiscoやGitHub、Google、Microsoftなどが影響を受ける
![シングルサインオンのSAMLライブラリに脆弱性、認証かわされる恐れ](https://cdn-ak-scissors.b.st-hatena.com/image/square/23486279c51c1b051153018a18ed0917badbaaa7/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fenterprise%2Farticles%2F1802%2F28%2Fl_ki_saml01.jpg)