OpenAMのセキュリティ脆弱性について [AM20121207-1]
OpenAMに以下2つのセキュリティ脆弱性が見つかりました。 脆弱性に対処するためにOpenAM 9.5.5 へアップデートをお願いいたします。
- OpenAMの特定Webページを攻撃することで、サーバーのファイルシステムおよび他のサーバに関する情報を読み取れてしまう脆弱性
(管理コンソールで使用されるオブジェクトへの直接参照に起因する脆弱性:Issue# 201204-01) - 十分な権限を持たないユーザがOpenAMの管理コンソール画面の一部にアクセスできてしまう脆弱性
(権限を持たないユーザの管理コンソール画面へアクセスに関わる脆弱性:Issue# 201204-02)
セキュリティ重要度: < Critical >
非常に危険、緊急対処を要するレベルです。 ForgeRock社より発表されたセキュリティ勧告や公開されているソースコードより、脆弱性に対する攻撃方法が推測できる可能性があり、早急に対処が必要です。
対象
- OpenAM 9.5.4以前
- OpenSSO
対策
OpenAM 9.5.5へアップデートをお願いいたします。
現在、弊社のOpenAMサポートサービスにご契約いただいているお客様にはアップデートパッケージを提供させていただきますので適用をお願いいたします。
また、アップデートを行うまでの緊急回避の方法も合わせてご提案させて頂きますので、内容を理解の上、対処ください。
緊急回避方法
アップデートを行うまでの緊急回避の方法です。実施することにより脆弱性に対するリスクを下げることが可能です。
管理コンソールで使用されるオブジェクトへの直接参照に起因する脆弱性:Issue# 201204-01
脆弱性のあるproxy.jspを利用できないようにします。インストールされたOpenAMのweb.xml(openam/WEB-INF/web.xml)を編集して、<web-app>タグ内に下記の箇所を追加して下さい。
<security-constraint> <web-resource-collection> <web-resource-name>Access Denied</web-resource-name> <url-pattern>/admin/proxy.jsp</url-pattern> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>
修正後、Webコンテナを再起動してください。
権限を持たないユーザの管理コンソール画面へアクセスに関わる脆弱性:Issue# 201204-02
権限を持たないユーザが管理コンソール画面へアクセスできないようにアクセス定義ファイルの入れ替えを行います。 下記URLからファイルをダウンロードし、展開した amAccessControl.xml をご利用中のOpenAMの "openam/WEB-INF/classes/amAccessControl.xml" と入れ替えてください。入れ替えた後、Webコンテナを再起動してください。
https://www.osstech.co.jp/_media/support/amaccesscontrol.xml.zip
脆弱性に関する詳細な説明
管理コンソールで使用されるオブジェクトへの直接参照に起因する脆弱性:Issue# 201204-01
対象:OpenAM 9.5.4以前/OpenSSO
セキュリティ重要度: < Critical >
脆弱性のあるURL(openam/admin/proxy.jsp)に作為的なリクエストを送ることにより攻撃者はローカルファイルシステムおよび他のサーバに関する情報を取得することが可能です。
権限を持たないユーザの管理コンソール画面へアクセスに関わる脆弱性:Issue# 201204-02
対象:OpenAM 9.5.4以前/OpenSSO
セキュリティ重要度: < Critical >
権限を持たないユーザがOpenAMの管理コンソールの一部の画面にアクセスすることが可能です。権限を持たないユーザが一部の設定を変更することが可能な場合があります。
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAM のバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
お問い合わせ: info @ osstech.co.jp