OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ [AM20151207-1]
製品アップデートのお知らせ
OSSTech OpenAM のアップデート版の提供を開始致します。
アップデート版ではセキュリティ脆弱性が修正されておりますので適用をお願いします。
対象
- OpenAM 9.5.5/11.0.0
セキュリティ脆弱性の詳細
脆弱性は ForgeRock 社が公開している以下のセキュリティアドバイザリーに対応しています。
OAuth2 トークンの管理用エンドポイントの脆弱性
- 対象: OpenAM 11.0.0
- セキュリティ重要度: < Critical >
OpenAM 11.0.0 において、OpenAM から発行された OAuth2 の認可コードおよびアクセストークンを所有者以外のユーザが取得できる脆弱性が存在します。
この脆弱性は、OpenAM が OAuth2 認可サーバとして動作し、下記のエンドポイントが一般ユーザからアクセス可能な場合に影響があります。
- /<deployment URI>/frrest/oauth2/token
クロスサイトスクリプティング(XSS)の脆弱性
- 対象: OpenAM の全てのバージョン(※)
- セキュリティ重要度: < High >
全てのバージョンの OpenAM において、OpenAM のいくつかのエンドポイントにXSS 脆弱性が存在します。
この脆弱性はセッションハイジャック攻撃やフィッシング攻撃に利用されるおそれがあります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響があります。
[OpenAM 9.5.5 の場合]
- /<deployment URI>/ccversion/Masthead.jsp
[OpenAM 11.0.0 の場合]
- /<deployment URI>/openam/ccversion/Masthead.jsp
- /<deployment URI>/openam/oauth2c/OAuthProxy.jsp
※: XSS 脆弱性については 2015 年 9 月 15 日付けのアナウンスで提供済みのパッケージで対応済みです。
脆弱性の対象のバージョンは以下になります。
[OpenAM 9.5.5 の場合]
- osstech-openam-9.5.5-30 より前のパッケージ
[OpenAM 11.0.0 の場合]
- osstech-openam11-11.0.0-76 より前のパッケージ
OpenAM バージョンは rpm パッケージで導入されている場合、下記のコマンドでご確認ください。
# rpm -qa | grep osstech
[OpenAM 9.5.5 の脆弱性の対象外の例]
# rpm -qa | grep osstech-openam osstech-openam-9.5.5-30
[OpenAM 9.5.5 の脆弱性の対象の例]
# rpm -qa | grep osstech-openam osstech-openam-9.5.5-21
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中の OpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
- OS について
- RedHat Enterprise Linux 6 (x86-64)
- RedHat Enterprise Linux 5 (x86)
- RedHat Enterprise Linux 5 (x86-64)
- OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。# rpm -qa | grep osstech
- カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OS 標準の Tomcat を利用されている場合
- war ファイル名を "openam.war" から変更されている場合
- OpenAM 11.0.0 の場合の標準配備先:
/opt/osstech/share/tomcat7/webapps/openam - OpenAM 9.5.5 の場合の標準配備先:
/opt/osstech/share/tomcat6/webapps/openam.war
脆弱性以外の修正について
アップデート版の修正内容をリリースノートに記載しております。対象のバージョンのリリースノートをご確認下さい。
お問い合わせ: info @ osstech.co.jp