OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20160726-1]
製品アップデートのお知らせ
OSSTech OpenAM のアップデート版の提供を開始致します。
アップデート版ではセキュリティ脆弱性への修正が含まれておりますので適用をお願いします。
対象
- OpenAM 9.5.5/11.0.0
アップデートバージョン
- OpenAM 9.5.5
- osstech-openam-9.5.5-37
- OpenAM 11.0.0
- osstech-openam11-11.0.0-99
セキュリティ脆弱性の詳細
以下の脆弱性に対応しています。
ForgeRock 社が公開している以下のセキュリティアドバイザリ
CVE, JVN が公開している以下のセキュリティアドバイザリ
SAML グラントを利用する OAuth2 サービスにおけるユーザなりすまし
- 対象: OpenAM 11.0.0
- セキュリティ重要度: < Critical >
OpenAM 11.0.0 において、OAuth2 のアクセストークンエンドポイントにユーザなりすましの脆弱性が存在します。
この脆弱性により任意のユーザのアクセストークンが取得されてしまうおそれがあります。
OpenAM を OAuth2 サーバとして利用し、かつ、SAML ベアラー・アサーション・フローを利用している場合に影響します。
エンドユーザプロファイル画面のオープンリダイレクト脆弱性
- 対象: OpenAM の全てのバージョン
- セキュリティ重要度: < High >
全てのバージョンの OpenAM において、エンドユーザのプロファイル画面にオープンリダイレクト脆弱性が存在します。
プロファイル画面において攻撃者の制御するサイトにエンドユーザがリダイレクトされてしまうおそれがあります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響があります。
- /<deployment URI>/idm/EndUser
クロスサイトスクリプティング(XSS)の脆弱性
- 対象: OpenAM の全てのバージョン
- セキュリティ重要度: < High >
全てのバージョンの OpenAM において、クロスサイトスクリプティング(XSS)脆弱性が存在します。
この脆弱性はセッションハイジャック攻撃やフィッシング攻撃に利用されるおそれがあります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響があります。
- /<deployment URI>/cdcservlet
パスワードリセット用 REST API で任意の属性を変更できる脆弱性
- 対象: OpenAM 11.0.0
- セキュリティ重要度: < High >
OpenAM 11.0.0 において、パスワードリセット用の REST API に脆弱性が存在します。
パスワードリセット用 REST API エンドポイントでエンドユーザの任意の属性が書き換えられてしまうおそれがあります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響があります。
- /<deployment URI>/json/users
アカウントロック機能によりユーザー情報が漏えいする脆弱性
- 対象: OpenAM 11.0.0 (11.0.0-85~11.0.0-86) 及び OpenAM 9.5.5 (9.5.5-31)
- セキュリティ重要度: < Medium >
前回のセキュリティ脆弱性に対応した OpenAM において、パスワードが正しいかが漏えいする脆弱性が存在します。
この脆弱性はブルートフォース攻撃によるパスワードの推測に利用されるおそれがあります。
この脆弱性は OpenAM のアカウントロック機能を有効にしている場合に影響があります。
アプリケーションコンテナの情報が漏えいする脆弱性
- 対象: OpenAM の全てのバージョン
- セキュリティ重要度: < Medium >
全てのバージョンの OpenAM において、アプリケーションコンテナ(Tomcat)のホームディレクトの情報が漏えいする脆弱性があります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響があります。
- /<deployment URI>/nowritewarning.jsp
Apache Commons FileUpload の脆弱性対応(CVE-2016-3092)
- 対象: OpenAM の全てのバージョン
- CVSSによる深刻度: 5.0
Apache Software Foundation が提供する Apache Commons Fileupload ライブラリにおける脆弱性です。
マルチパートリクエストの処理に問題があり、サービス運用妨害(DoS)攻撃を受ける可能性があります。
OpenAM では初期設定時に利用されるフレームワークに影響があります。
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
- OS について
- RedHat Enterprise Linux 7 (x86-64)
- RedHat Enterprise Linux 6 (x86-64)
- RedHat Enterprise Linux 5 (x86)
- RedHat Enterprise Linux 5 (x86-64)
- OpenAM のバージョンについて
rpm パッケージを導入されている場合は下
記のコマンドでご確認ください。
# rpm -qa | grep osstech
- カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準
のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当ては まる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OS 標準の Tomcat を利用されている場合
- 配備先が標準とは異なる場合(デプロイ URL を変えている、 war ファ
イル名を変えている場合など)
- OpenAM 11.0.0 の場合の標準配備先:
/opt/osstech/share/tomcat7/webapps/openam
- OpenAM 9.5.5 の場合の標準配備先:
/opt/osstech/share/tomcat6/webapps/openam.war
脆弱性以外の修正について
お問い合わせ: info @ osstech.co.jp