Apache Commons Collectionsの脆弱性の影響について(OpenAM) [AM20151116-1]
OpenAM で利用している Apache Commons Collections ライブラリの脆弱性について、昨今メディア等で話題になっております。
本脆弱性は 2015 年 9 月 15 日付けでアナウンスしているパッケージで対処済みですが、再度アナウンスさせていただきます。
対象
弊社製品で「Apache Commons Collections ライブラリ」を利用しているのは
OpenAMのみです。
OpenAM Policy Agent等、他の製品については影響はありません。
OpenAM 9.5.x
osstech-openam-9.5.5-30 より前のパッケージが対象です。
脆弱性の対象外の例
# rpm -qa | grep osstech-openam osstech-openam-9.5.5-30
脆弱性の対象の例
# rpm -qa | grep osstech-openam osstech-openam-9.5.5-21
OpenAM 11.0.0
osstech-openam11-11.0.0-76 より前のパッケージが対象です。
脆弱性の対象外の例
# rpm -qa | grep osstech-openam11 osstech-openam11-11.0.0-77
脆弱性の対象の例
# rpm -qa | grep osstech-openam11 osstech-openam11-11.0.0-66
脆弱性の詳細
セキュリティ重要度
< Critical >
脆弱性の影響
この脆弱性により攻撃者からの細工されたリクエストを受け付け、 リモートでコードを実行される可能性があります。
対策
2015 年 9 月 15 日付けでアナウンスしているパッケージで対処済みです。
OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ [AM20150915-1]
パッケージのバージョンをご確認いただき、脆弱性の対象である場合はパッケージのアップデートを行って下さい。
参考 URL
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中の OpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
- OS について
- RedHat Enterprise Linux 6 (x86-64)
- RedHat Enterprise Linux 5 (x86)
- RedHat Enterprise Linux 5 (x86-64)
- OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。# rpm -qa | grep osstech
- カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OS 標準の Tomcat を利用されている場合
- war ファイル名を "openam.war" から変更されている場合
- OpenAM 11.0.0 の場合の標準配備先:
/opt/osstech/share/tomcat7/webapps/openam
© 2024 Open Source Solution Technology Corporation,
All Rights Reserved.
お問い合わせ: info @ osstech.co.jp
お問い合わせ: info @ osstech.co.jp