OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20180604-1]
OpenAM アップデートのお知らせ
OSSTech OpenAM のアップデート版の提供を開始致します。
アップデート版ではセキュリティ脆弱性への修正が含まれておりますので適用をお願いします。
対象
- OpenAM 11.0.0
- osstech-openam11-11.0.0-122 以前のバージョン
- OpenAM 13.0.0
- osstech-openam13-13.0.0-96 以前のバージョン
セキュリティ脆弱性の詳細
ForgeRock 社が公開している次のセキュリティアドバイザリに対応しています。
JWT ベアラートークングラントにおける認可に関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Critical >
OpenAM の OpenID Connect Provider 機能には JWT ベアラートークングラントにおける認可に関する脆弱性が存在します。
この脆弱性によりリソースオーナーが意図しない権限を持つアクセストークンが発行される恐れがあります。
この脆弱性は OpenAM を OpenID Connect Provider として構成している場合に影響があります。
管理画面におけるパスワード管理に関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < High >
OpenAM の管理画面には幾つかの種類のパスワードを平文で表示する問題があります。
攻撃者が管理画面を盗み見ることにより、パスワードが漏えいする恐れがあります。
管理画面におけるクロスサイトスクリプティングの脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < High >
OpenAM の管理画面にはクロスサイトスクリプティングの脆弱性が存在します。管理者が細工されたページにアクセスすることにより意図しないスクリプトが実行される可能性があります。
この脆弱性はセッションハイジャック攻撃やフィッシング攻撃に利用される恐れがあります。
オープンリダイレクトの脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM の幾つかのエンドポイントには任意のリダイレクト先に転送される脆弱性が存在します。
この脆弱性はフィッシング攻撃に利用される恐れがあります。
リフレッシュトークンの検証不備に関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM にはリフレッシュトークンに紐づくユーザーの検証不備により無効なユーザーのリフレッシュトークンを受け付ける脆弱性が存在します。
この脆弱性により無効なユーザーのアクセストークンを発行する可能性があります。
この脆弱性は OpenAM を OAuth 2.0 Authorization Server として設定している場合に影響があります。
認証 REST APIの情報漏えいに関する脆弱性
- 対象: OpenAM 13.0.0/OpenAM 11.0.0
- 深刻度 : < Medium >
OpenAM の 認証 REST API にはユーザーの存在有無を確認可能な脆弱性が存在します。
OpenAM 11.0.0 では、一般ユーザーがアクセス可能な OpenAM サーバーの URL を制限していない場合に影響があります。
OpenAM 13.0.0 では設定に依存せず、すべての環境に影響があります。
OpenID Connect の認証リクエストにおける検証に関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM は OpenID Connect の認証リクエストを適切に処理しないため、意図しない情報を含む ID トークンを発行する可能性があります。
この脆弱性は Relying Party の認証回避に利用される恐れがあります。
この脆弱性は OpenAM を OpenID Connect Provider として設定している場合に影響があります。
リカバリーコードの強度に関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM の ForgeRock Authenticator 認証で生成されるリカバリーコードはエントロピーの不足により強度が十分ではありません。
パスワードクラッキング攻撃に対して脆弱となる恐れがあります。
この脆弱性は ForgeRock Authenticator 認証を利用しており、リカバリーコードの発行を有効にしている場合に影響があります。
ユーザーセルフサービスのなりすましに関する脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Low > ※
OpenAM のパスワードリセット機能には第三者がパスワードをリセット可能な脆弱性が存在します。
この脆弱性によりアカウントが攻撃者に奪取される可能性があります。
この脆弱性はユーザーセルフサービスのパスワードリセット機能を有効にしている場合に影響があります。
※ ForgeRock のアナウンスによる深刻度は < Low > ですが、弊社が CVSS v3 により算出した深刻度は < High > です。
コンテンツスプーフィング攻撃を実行される脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM のログイン画面にはコンテンツスプーフィング攻撃を実行される脆弱性が存在します。
この脆弱性により攻撃者が任意のエラーメッセージを表示できる恐れがあります。
対策
アップデート版の適用をお願いします。
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
- OS について
- RedHat Enterprise Linux 7 (x86-64)
- RedHat Enterprise Linux 6 (x86-64)
- OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。# rpm -qa | grep osstech
- カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OS 標準の Tomcat を利用されている場合
- 配備先が標準とは異なる場合(デプロイ URL を変えている、 war ファイル名を変えている場合など)
- OpenAM 13.0.0 の場合の標準配備先:
- /opt/osstech/share/tomcat/webapps/openam
- OpenAM 11.0.0 の場合の標準配備先:
- /opt/osstech/share/tomcat7/webapps/openam
リリースノート
アップデート版の修正内容をリリースノートに記載しております。
お問い合わせ: info @ osstech.co.jp