Stylesheet style.css not found, please contact the developer of "osstech" template.

OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ [AM20140722-1]

製品アップデートのお知らせ

OSSTech OpenAM 9.5.5/11.0.0 のアップデート版の提供を開始致します。

アップデート版ではセキュリティ脆弱性が修正されておりますので適用をお願い致します。

脆弱性の詳細

OpenAMに 5 つの脆弱性が見つかりました。本件に対処するためにパッケージのアップデートをお願い致します。

  • セットアップ/アップデート用 URL の DoS 脆弱性
    すべてのバージョンの OpenAM において、特定のURLにアクセスすることでサーバーリソース(コネクション/スレッド)を消費する DoS 脆弱性が存在します。
    この脆弱性は、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に影響があります。
  • セッションフォワーディングの DoS 脆弱性
    すべてのバージョンの OpenAM において、OpenAM が作為的な Cookie を受信した場合にリクエストがループする DoS 脆弱性が存在します。
    この脆弱性は OpenAM サーバーが所属しているサイトが複数設定されている場合に影響があります。
  • クッキーに HttpOnly 属性が付加されない脆弱性
    すべてのバージョンの OpenAM において、OpenAM が発行する Cookie に HttpOnly 属性が付加されない脆弱性が存在します。
    この脆弱性は OpenAM がサイト構成である環境においてロードバランサー等によるセッションのスティッキーが有効にならない場合に影響があります。
  • クロスドメイン SSO 用 URL の XSS 脆弱性
    すべてのバージョンの OpenAM において、クロスドメイン SSO 用 URL に作為的なクエリパラメータを付与してリクエストすることで、OpenAM コンテキスト配下の通常ではアクセスできないファイルを参照可能な脆弱性が存在します。
    この脆弱性はクロスドメイン SSO 用 URL に一般ユーザーがアクセス可能な場合に影響があります。
  • OpenID Connect Session Management 1.0 の実装に対する XSS 脆弱性
    OpenAM 11.0.0 において、OpenAM の OpenID Connect Provider 機能の 1 つである OpenID Connect Session Management 1.0 の check_session_iframe に XSS の脆弱性が存在します。
    この脆弱性は OpenID Connect Session Management 1.0 を利用している場合に影響があります。

脆弱性以外の修正について

アップデート版の修正内容をリリースノートに記載しております。対象のバージョンのリリースノートをご確認下さい。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中の OpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

  1. OS について
    • RedHat Enterprise Linux 6 (x86-64)
    • RedHat Enterprise Linux 5 (x86)
    • RedHat Enterprise Linux 5 (x86-64)
  2. OpenAM のバージョンについて
    rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
    #rpm -qa | grep osstech-openam
  3. カスタマイズの有無などについて
    下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせいたします。
    1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
    2. OpenAM の配備方法が弊社標準とは異なる
      • OS 標準の Tomcat を利用されている場合
      • war ファイル名を "openam.war" から変更されている場合
        • OpenAM 11.0.0 の場合の標準配備先:
          /opt/osstech/share/tomcat7/webapps/openam
        • OpenAM 9.5.5 の場合の標準配備先:
          /opt/osstech/share/tomcat6/webapps/openam.war
© 2024 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp
-->