Chrome 80 のセキュリティ強化と弊社製品への影響について [AM20200117-1]

Chrome 80 のセキュリティ強化

2020 年 2 月にリリース予定の Google Chrome 80 からクロスドメインに おけるCookie の動作が変更になります。

詳細は以下の URL をご確認ください。

https://developers-jp.googleblog.com/2019/11/cookie-samesitenone-secure.html

対象

  • OpenAM 13.0.0
    • osstech-openam13-13.0.0-151 以前のバージョン
  • OpenAM 11.0.0
    • osstech-openam11-11.0.0-126 以前のバージョン
  • OpenAM 9.5.x
    • osstech-openam-9.5.5-44 以前のバージョン
  • mod_auth_mellon
    • すべてのバージョン

弊社製品に限らず、ブラウザを利用するシステムでは影響がある可能性が高いため、各ベンダーへの確認を推奨いたします。

OpenAM への影響

上述の動作変更により、クロスドメインでのリダイレクト時に Chrome が Cookie を送信しない場合があります。その結果、以下の構成/機能で問題を確認しています。

構成によって影響が異なりますので、ご利用中の環境における影響の有無についてはサポート窓口までお問い合わせください。

アプリケーションやネットワーク機器(ロードバランサーがクッキーでスティッキーを行う場合など)の影響は各サポートベンダーへお問い合わせください。

OpenAM 13.0.0

  • Agent でクロスドメイン SSO を利用しており、ポリシーで一部の URL に対してより強固な認証を定義しており、かつ XUI を無効化している
  • SAML2 IdP として動作しており、認証コンテキストクラスでより強固な認証を定義しており、かつ XUI を無効化している
  • SAML2 認証を利用している
  • SAML2 SP として動作している
  • SAML2 シングルログアウトを利用している

OpenAM 11.0.0

  • Agent でクロスドメイン SSO を利用しており、ポリシーで一部の URL に対してより強固な認証を定義している
  • SAML2 IdP として動作しており、認証コンテキストクラスでより強固な認証を定義している
  • SAML2 SP として動作している
  • SAML2 シングルログアウトを利用している

OpenAM 9.5.x

  • Agent でクロスドメイン SSO を利用しており、ポリシーで一部の URL に対してより強固な認証を定義している
  • SAML2 IdP として動作しており、認証コンテキストクラスでより強固な認証を定義している
  • SAML2 SP として動作している
  • SAML2 シングルログアウトを利用している

mod_auth_mellon への影響

SAML POSTバインディングを使用していると、Cookie が送信されないためエラー画面が応答されることを確認しています。

暫定回避策

Chrome が従来の挙動となるように Chrome の設定変更を行うことが可能です。

Chrome のアドレスバーに 「chrome://flags」 と入力し、以下の項目の設定を Disable に変更します。

  • SameSite by default cookies
  • Cookies without SameSite must be secure

恒久対策

本件に対応した 製品パッケージをリリース予定です。 パッケージがリリースされましたら、製品パッケージのアップデートと設定変更をお願いいたします。 なお、対象の環境が HTTP で動作している場合は HTTPS 化が必要です。

アップデートパッケージの入手方法

お客様がご利用中の環境について、下記の動作 OS、ご利用中の弊社製品のバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

  1. OS について
    • RedHat Enterprise Linux 7 (x86-64)
    • RedHat Enterprise Linux 6 (x86-64)
  2. OpenAM のバージョンについて
    rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
    # rpm -qa | grep osstech
  3. カスタマイズの有無などについて(OpenAMの場合のみ)
    下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
    1. カスタマイズモジュールを導入している
      • 画面のカスタマイズをされている場合
      • 認証モジュールのカスタマイズをされている場合
    2. OpenAM の配備方法が弊社標準とは異なる
  • OpenAM 13.0.0 の場合の標準配備先:
    • /opt/osstech/share/tomcat/webapps/openam
  • OpenAM 11.0.0 の場合の標準配備先:
    • /opt/osstech/share/tomcat7/webapps/openam
  • OpenAM 9.5.x の場合の標準配備先:
    • /opt/osstech/share/tomcat6/webapps/openam.war
© 2020 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp