OpenAM の脆弱性(CVE-2021-35464)の影響について [am2021-3-1]

ForgeRock より OpenAM の脆弱性 CVE-2021-35464 が公表されました。この脆弱性は OSSTech OpenAM も該当します。

2021-07-01

サポートニュース

OpenAM

update

OpenAM の脆弱性(CVE-2021-35464)について

ForgeRock より OpenAM の脆弱性 CVE-2021-35464 が公表されました。

ForgeRock Access Management (OpenAM) の特定のエンドポイントにはリモートコード実行の脆弱性が存在します。

この脆弱性は弊社の OpenAM にも該当します。

対象

全てのバージョンが対象です。

暫定回避策

下記のエンドポイント無効化、もしくはアクセスを拒否します。

  • /コンテキストパス/ccversion/*

Tomcat でこのエンドポイントを無効化する場合は web.xml で VersionServlet のサーブレットマッピングをコメントアウトします。 変更後は OpenAM を再起動してください。

  <servlet-mapping>
     <servlet-name>VersionServlet</servlet-name>
     <url-pattern>/ccversion/*</url-pattern>
  </servlet-mapping>

↓↓

<!--
  <servlet-mapping>
     <servlet-name>VersionServlet</servlet-name>
     <url-pattern>/ccversion/*</url-pattern>
  </servlet-mapping>
-->

OpenAM の前段に Apache HTTP Server などの WEB サーバーが配置されている場合は WEB サーバーで拒否しても構いません。1

この対応を行うと管理コンソール等からバージョン情報画面を表示できなくなりますのでご注意ください。 (OpenAM 13 以降では管理コンソールのフッターに OpenAM のバージョンが表示されますが、この表示には影響はありません。)

恒久対策

修正版の OpenAMパッケージをリリース予定です。 パッケージがリリースされましたら、OpenAM パッケージのアップデートをお願いいたします。


  1. WEB サーバーでの対策では不完全である可能性があるため、サーブレットマッピングを変更して下さい(2021/07/19 更新) ↩︎

Go To Top