OpenAMのセキュリティに関する脆弱性と製品アップデートのお知らせ[AM20190722-1]
製品アップデートのお知らせ
OSSTech OpenAM のアップデート版の提供を開始します。
アップデート版ではセキュリティ脆弱性への修正が含まれておりますので適用をお願いします。
対象
- OpenAM 13.0.0
- osstech-openam13-13.0.0-143 以前のバージョン
- OpenAM 11.0.0
- osstech-openam11-11.0.0-124 以前のバージョン
- OpenAM 9.5.x
- osstech-openam-9.5.5-42 以前のバージョン
セキュリティ脆弱性の詳細
ForgeRock 社が公開している次のセキュリティアドバイザリに対応しています。
クロスサイトスクリプティング (XSS) 脆弱性
- 対象: OpenAM 13.0.0/OpenAM 11.0.0/OpenAM 9.5.x
- 深刻度 : < Critical >
OpenAM にはクロスサイトスクリプティングの脆弱性が存在します。
この脆弱性はセッションハイジャック攻撃やフィッシング攻撃に利用されるおそれがあります。
この脆弱性は以下の URL に一般ユーザがアクセス可能な場合に影響する可能性があります。
- /<deployment URI>/ccversion/Masthead.jsp
- /<deployment URI>/SAMLPOSTProfileServlet
- /<deployment URI>/oauth2/authorize (OpenAM 13.0.0 のみ)
SSL サーバー証明書の検証不備の脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM には SSL サーバー証明書の検証不備の脆弱性が存在します。
中間者攻撃により通信内容の盗聴や改ざんが行われるおそれがあります。
この脆弱性は次の機能を利用している場合に影響します。
- スクリプトサービス(スクリプトで 外部 HTTPS サーバーにアクセス)
- ユーザーセルフサービス(CAPTCHA を利用)
アカウントロックの制御の問題
- 対象: OpenAM 13.0.0/OpenAM 11.0.0/OpenAM 9.5.x
- 深刻度 : < High >
OpenAM のアカウントロック機能には適切に動作しない問題が存在します。
認証失敗の上限を超えた場合でも認証に成功する可能性があります。
この脆弱性は OpenAM 独自のアカウントロック機能を利用している場合に影響があります。(OpenLDAP の ppolicy を利用している場合は影響しません)
オープンリダイレクト脆弱性
- 対象: OpenAM 13.0.0
- 深刻度 : < Medium >
OpenAM には OAuth 認可エンドポイントにはオープンリダイレクトの脆弱性が存在します。
この脆弱性はフィッシング攻撃に利用されるおそれがあります。
この脆弱性は OAuth プロバイダ機能を有効にしている場合に影響します。
対策
アップデート版の適用をお願いします。
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
- OS について
- RedHat Enterprise Linux 7 (x86-64)
- RedHat Enterprise Linux 6 (x86-64)
- OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。# rpm -qa | grep osstech
- カスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OpenAM 13.0.0 の場合の標準配備先:
- /opt/osstech/share/tomcat/webapps/openam
- OpenAM 11.0.0 の場合の標準配備先:
- /opt/osstech/share/tomcat7/webapps/openam
- OpenAM 9.5.x の場合の標準配備先:
- /opt/osstech/share/tomcat6/webapps/openam.war
リリースノート
アップデート版の修正内容をリリースノートに記載しております。
お問い合わせ: info @ osstech.co.jp