OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ [AM20160308-1]

OSSTech OpenAM のアップデート版の提供を開始します。

アップデート版ではセキュリティ脆弱性の修正が含まれておりますので適用をお願いします。

• OpenAM 9.5.5/11.0.0

脆弱性は ForgeRock 社が公開している以下のセキュリティアドバイザリーに対応しています。

• OpenAM Security Advisory #201601

対象：OpenAM の全てのバージョン
セキュリティ重要度： < Critical >
対象の OpenAM には本来拒否されるべきリダイレクト先に転送する脆弱性が存在します。
この脆弱性はフィッシング攻撃に利用される恐れがあります。

対象：OpenAM の全てのバージョン
セキュリティ重要度： < High >
対象の OpenAM には OpenAM 間でリクエストがループする DoS 脆弱性が存在します。
この脆弱性は OpenAM サーバーに複数のサイトを構成している場合に影響があります。

対象：OpenAM の全てのバージョン
セキュリティ重要度： < High >
OpenAM のいくつかのエンドポイントに XSS 脆弱性が存在します。
この脆弱性はセッションハイジャック攻撃やフィッシング攻撃に利用される恐れがあります。
この脆弱性は、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に特に影響があります。

/<deployment URI>/federation/*
/<deployment URI>/saml2/jsp/exportmetadata.jsp
/<deployment URI>/WSFederationServlet/<metaAlias>
/<deployment URI>/oauth2c/OAuthLogout.jsp (※ OpenAM 9.5.5 は対象外)

対象：OpenAM の全てのバージョン
セキュリティ重要度： < High >
OpenAM のいくつかのエンドポイントには任意のリダイレクト先に転送する脆弱性が存在します。
この脆弱性はフィッシング攻撃に利用される恐れがあります。
この脆弱性は、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に特に影響があります。

/<deployment URI>/consentHandler
/<deployment URI>/federation

対象：OpenAM 11.0.0
セキュリティ重要度： < High >
対象の OpenAM には攻撃者が OpenAM を介してメールを送信可能なオープンリレー脆弱性が存在します。
この脆弱性は、Self-Service 機能を有効にしている場合に影響があります。

対象：OpenAM 11.0.0
セキュリティ重要度： < High >
対象の OpenAM には amadmin のパスワード変更後、OpenAM の再起動か新パスワードでログインを実施するまで古いパスワードを利用できる問題があります。
amadmin のパスワード変更後、OpenAM の再起動を実施することで対策となります。

対象：OpenAM の全てのバージョン
セキュリティ重要度： < Medium >
OpenAM の 認証 REST API にはユーザーの存在有無を確認できる脆弱性が存在します。
この脆弱性は、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に特に影響があります。

/<deployment URI>/identity/authenticate
/<deployment URI>/identity/xml/authenticate
/<deployment URI>/identity/json/authenticate
/<deployment URI>/json/authenticate (※ OpenAM 9.5.5 は対象外)

対象：OpenAM 11.0.0
セキュリティ重要度： < Medium >
OpenAM の OATH 認証にはリプレイ攻撃に対する脆弱性が存在します。
この脆弱性は OATH 認証を TOTP モードで利用している場合に影響があります。

対象：OpenAM の全てのバージョン
セキュリティ重要度： < Medium >
OpenAM のエンドポイントに任意のリダイレクト先に転送する脆弱性があります。
この脆弱性はフィッシング攻撃に利用されるおそれがあります。
この脆弱性は、CDSSO を利用している場合に特に影響があります。

/<deployment URI>/cdcservlet

対象：OpenAM の全てのバージョン
セキュリティ重要度： < Medium >
OpenAM のいくつかのエンドポイントには任意にコンテンツを表示できる脆弱性があります。
この脆弱性は、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に特に影響があります。

/<deployment URI>/validatorFooter.jsp
/<deployment URI>/validateWait.jsp

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中の OpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

1. OS について
   • RedHat Enterprise Linux 7 (x86-64)
   • RedHat Enterprise Linux 6 (x86-64)
   • RedHat Enterprise Linux 5 (x86)
   • RedHat Enterprise Linux 5 (x86-64)
2. OpenAM のバージョンについて
   rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

   # rpm -qa | grep osstech

3. カスタマイズの有無などについて
   下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
   1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
   2. OpenAM の配備方法が弊社標準とは異なる
      • OS 標準の Tomcat を利用されている場合
      • war ファイル名を "openam.war" から変更されている場合
        • OpenAM 11.0.0 の場合の標準配備先:
          /opt/osstech/share/tomcat7/webapps/openam

アップデート版の修正内容をリリースノートに記載しております。対象のバージョンのリリースノートをご確認下さい。

• OpenAM 11 リリースノート
• OpenAM 9 リリースノート