OpenAM の脆弱性(CVE-2021-35464)について [am2021-3-2]

OSSTech OpenAM のアップデート版の提供を開始します。アップデート版ではセキュリティ脆弱性が修正されておりますので適用をお願いします。

2021-08-10

サポートニュース

OpenAM

update

OpenAM の脆弱性(CVE-2021-35464)について

ForgeRock より OpenAM の脆弱性 CVE-2021-35464 が公表されました。

ForgeRock Access Management (OpenAM) の特定のエンドポイントにはリモートコード実行の脆弱性が存在します。

この脆弱性は弊社の OpenAM にも該当します。

対象

  • OpenAM 14.x
    • osstech-openam14-14.1.0-4 以前のバージョン
  • OpenAM 13.0.0
    • osstech-openam13-13.0.0-172 以前のバージョン
  • OpenAM 11.0.0
    • osstech-openam11-11.0.0-133 以前のバージョン
  • OpenAM 9.5.x
    • osstech-openam-9.5.5-46 以前のバージョン

恒久対策

アップデート版の適用をお願いします。

もしくは、前回のアラートで暫定回避策として案内していた VersionServlet のサーブレットマッピングの無効化を行ってください。

OpenAM の前段に Apache HTTP Server などの WEB サーバーを配置してアクセス制御を行っている場合でも、対策として不完全である可能性があります。サーブレットマッピングを無効化して下さい。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

OS について

  • Red Hat Enterprise Linux 8 (x86-64)
  • Red Hat Enterprise Linux 7 (x86-64)
  • Red Hat Enterprise Linux 6 (x86-64)

OpenAM のバージョンについて

rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

# rpm -qa | grep osstech

カスタマイズの有無などについて

下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。

  • カスタマイズモジュールを導入している
    • 画面のカスタマイズをされている場合
    • 認証モジュールのカスタマイズをされている場合
  • OpenAM の配備方法が弊社標準とは異なる
    • OpenAM 13.0.0 および 14.0.0 の標準配備先:
      • /opt/osstech/share/tomcat/webapps/openam
    • OpenAM 11.0.0 の標準配備先:
      • /opt/osstech/share/tomcat7/webapps/openam
    • OpenAM 9.5.x の標準配備先:
      • /opt/osstech/share/tomcat6/webapps/openam.war

リリースノート

アップデート版の修正内容をリリースノートに記載しております。

Go To Top