OpenAMに以下３つのセキュリティ脆弱性が見つかりました。 脆弱性に対処するためにOpenAM 9.5.5 へアップデートをお願いいたします。

また、アップデートを行うまでの緊急回避の方法も合わせてご提案させて頂きますので、内容を理解の上、対処ください。

1. OpenAMの特定Webページを攻撃することで、サーバー内部の任意のファイルを読み取れてしまう脆弱性
   （authserviceのXXE/SSRF脆弱性：Issue# 201203-01）
2. OpenAMのデバッグ管理Webページを攻撃することで、デバッグレベルを変更されてしまう脆弱性
   （Debug.jspのXSS/CSRF脆弱性：Issue# 201203-02)
3. OpenAMの特定Webページを攻撃することで、サーバー内部のファイル構成が判別できてしまう脆弱性
   （WebCLI機能の脆弱性：Issue# 201203-03)

非常に危険、緊急対処を要するレベルです。 ForgeRock社より発表されたセキュリティ勧告や公開されているソースコードより、脆弱性に対する攻撃方法が推測できる可能性があり、早急に対処が必要です。

OpenAM/OpenSSOの全てのバージョン

OpenAM 9.5.5 へアップデートをお願いいたします。

現在、弊社の OpenAM サポートサービスにご契約いただいているお客様にはアップデートパッケージを提供させていただきますので適用をお願いいたします。

アップデートを行うまでの緊急回避の方法です。実施することにより脆弱性に対するリスクを下げることが可能です。

詳細につきましてはOpenAMのセキュリティ脆弱性について [AM20121122-1]を参照してください。

OpenAMのURL(/openam/authservice)にeXternal XML Entity inclusion/Server Side Request Forgery(XXE/SSRF)攻撃に対する脆弱性があります。

脆弱性のあるURL(/openam/authservice)が作為的なXMLを受信するとWebコンテナ(Tomcat)起動ユーザーが参照できるサーバー内部のリソースを含むコンテンツを生成してしまう可能性があります。

脆弱性を攻撃された場合、攻撃者がWebコンテナ(Tomcat)の起動ユーザーでサーバーリソースにアクセスするため、Webコンテナの起動ユーザーにはrootユーザーを利用しないで下さい。

Debug.jspにcross-site scripting/cross-site request forgery (XSS/CSRF)攻撃に対する脆弱性があります。

OpenAMの有効なセッションを保持した管理者が悪意あるWebページにアクセスすることにより攻撃者はOpenAMのデバッグレベルを変更することが可能です。

WebCLI機能によりファイルシステムに関する情報が漏れる可能性があります。

脆弱性のあるURL(/openam/webcli)が作為的に構成された入力を受信すると特定のファイルやディレクトリがサーバ上に存在するか否かの情報を返してしまう可能性があります。

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAM のバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。