OpenAMのセキュリティに関する脆弱性(CVE-2017-10873)と製品アップデートのお知らせ[AM20171101-1]

OSSTech OpenAM のアップデート版の提供を開始致します。

アップデート版ではセキュリティ脆弱性への修正が含まれておりますので適用をお願いします。

• OpenAM 9.5.5
  • osstech-openam-9.5.5-41 以前のバージョン
• OpenAM 11.0.0
  • osstech-openam11-11.0.0-112 以前のバージョン
• OpenAM 13.0.0
  • osstech-openam13-13.0.0-73 以前のバージョン

CVE, JVN が公開している以下のセキュリティアドバイザリ

• CVE - CVE-2017-10873
• JVNDB-2017-000231 - JVN iPedia - 脆弱性対策情報データベース
• JVN#79546124 - JVN

• 対象: OpenAM の全てのバージョン
• CVSSによる深刻度 : 警告

全てのバージョンの OpenAM において、認証回避の脆弱性が存在します。
SAML IdP の認証としてワンタイムパスワードなどの追加要素を必要とする環境であっても、ID とパスワードのみで認証できるおそれがあります。
この脆弱性は OpenAM を SAML 2.0 の IdP として構成しており、認証コンテキストクラスによって認証方式を変えている場合に影響します。

アップデート版の適用をお願いします。

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

1. OS について
   • RedHat Enterprise Linux 7 (x86-64)
   • RedHat Enterprise Linux 6 (x86-64)
2. OpenAM のバージョンについて
   rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

   # rpm -qa | grep osstech

3. カスタマイズの有無などについて
   下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
   1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
   2. OpenAM の配備方法が弊社標準とは異なる
      • OS 標準の Tomcat を利用されている場合
      • 配備先が標準とは異なる場合（デプロイ URL を変えている、 war ファイル名を変えている場合など）
        • OpenAM 13.0.0 の場合の標準配備先:
          • /opt/osstech/share/tomcat/webapps/openam
        • OpenAM 11.0.0 の場合の標準配備先:
          • /opt/osstech/share/tomcat7/webapps/openam
        • OpenAM 9.5.5 の場合の標準配備先:
          • /opt/osstech/share/tomcat6/webapps/openam.war

アップデート版の修正内容をリリースノートに記載しております。

• OpenAM 13 リリースノート
• OpenAM 11 リリースノート
• OpenAM 9.5.5 リリースノート