OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20181012-1]

製品アップデートのお知らせ

OSSTech OpenAM のアップデート版の提供を開始致します。

アップデート版ではセキュリティ脆弱性への修正が含まれておりますので適用をお願いします。

対象

  • OpenAM 13.0.0
    • osstech-openam13-13.0.0-120 以前のバージョン

セキュリティ脆弱性の詳細

ユーザーセルフサービスに関するセッション管理不備の脆弱性

  • 対象: OpenAM 13.0.0
  • CVSSによる深刻度 : 警告

OpenAM にはセッション管理不備の脆弱性が存在します。
OpenAM にログイン可能なユーザーによって、秘密の質問を書き換えられ、パスワードを変更される可能性があります。
この脆弱性はユーザーセルフサービスの機能で秘密の質問を有効にしている場合に影響します。

対策

アップデート版の適用をお願いします。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

  1. OS について
    • RedHat Enterprise Linux 7 (x86-64)
  2. OpenAM のバージョンについて
    rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
    # rpm -qa | grep osstech
  3. カスタマイズの有無などについて
    下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
    1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
    2. OpenAM の配備方法が弊社標準とは異なる
  • OpenAM 13.0.0 の場合の標準配備先:
    • /opt/osstech/share/tomcat/webapps/openam

リリースノート

アップデート版の修正内容をリリースノートに記載しております。

© 2018 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp