OpenAM の脆弱性(CVE-2021-29156)について
MITRE より OpenAM の脆弱性 CVE-2021-29156 が公表されました。
13.5.1 より前の ForgeRock 版 OpenAM では WebFinger プロトコルに LDAP インジェクションの脆弱性が存在します。 ハッシュ化されたパスワードを奪取される可能性があります。
この脆弱性は OSSTech OpenAM にも該当します。
対象
- OpenAM 14.0.0
- OpenAM 13.0.0
- OpenAM 11.0.0
※ OpenAM 9.5.5 は対象外です。
暫定回避策
下記のエンドポイント無効化、もしくはアクセスを拒否します。
- /コンテキストパス/.well-known/webfinger
Tomcat でこのエンドポイントを無効化する場合は web.xml で WebFinger のサーブレットマッピングをコメントアウトします。 変更後は OpenAM を再起動してください。
<servlet-mapping>
<servlet-name>WebFinger</servlet-name>
<url-pattern>/.well-known/*</url-pattern>
</servlet-mapping>
↓↓
<!-- servlet-mapping>
<servlet-name>WebFinger</servlet-name>
<url-pattern>/.well-known/*</url-pattern>
</servlet-mapping -->
OpenAM の前段に Apache HTTP Server などの WEB サーバーが配置されている場合は WEB サーバーで拒否しても構いません。
恒久対策
修正版の OpenAMパッケージをリリース予定です。 パッケージがリリースされましたら、OpenAM パッケージのアップデートをお願いいたします。