OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ [AM20141106-1]

製品アップデートのお知らせ

OSSTech OpenAM 9.5.5/11.0.0 のアップデート版の提供を開始します。

アップデート版ではセキュリティ脆弱性が修正されておりますので適用をお願いします。

脆弱性の詳細

OpenAMに下記のセキュリティ脆弱性が見つかりました。脆弱性に対処するためにパッケージのアップデートをお願いします。

  • セッションフォワーディングの DoS 脆弱性
    対象:OpenAM 9.5.3 以降
    セキュリティ重要度: < Critical >
    対象の OpenAM には OpenAM 間でリクエストがループする DoS 脆弱性が存在します。
    この脆弱性は OpenAM サーバーが冗長構成になっている場合に影響があります。
  • Secure Attribute Exchange (SAE) 用エンドポイントの XSS 脆弱性
    対象:OpenAM の全てのバージョン
    セキュリティ重要度: < High >
    対象の OpenAM には SAE 用 エンドポイント に XSS の脆弱性が存在します。
    この脆弱性は SAML IdP 用 OpenAM と SAML SP 用 OpenAM を構成しており、かつ SAE を利用している場合に影響があります。

脆弱性以外の修正について

アップデート版の修正内容をリリースノートに記載しております。対象のバージョンのリリースノートをご確認下さい。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中の OpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

  1. OS について
    • RedHat Enterprise Linux 6 (x86-64)
    • RedHat Enterprise Linux 5 (x86)
    • RedHat Enterprise Linux 5 (x86-64)
  2. OpenAM のバージョンについて
    rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
    #rpm -qa | grep osstech-openam
  3. カスタマイズの有無などについて
    下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
    1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
    2. OpenAM の配備方法が弊社標準とは異なる
      • OS 標準の Tomcat を利用されている場合
      • war ファイル名を "openam.war" から変更されている場合
        • OpenAM 11.0.0 の場合の標準配備先:
          /opt/osstech/share/tomcat7/webapps/openam
        • OpenAM 9.5.5 の場合の標準配備先:
          /opt/osstech/share/tomcat6/webapps/openam.war
© 2021 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp
-->