OpenAM のセキュリティ脆弱性について
OSSTech OpenAM にアクセス制御の不備の脆弱性が見つかりました。 この脆弱性はセッションハイジャック攻撃に利用されるおそれがあります。
本脆弱性は ForgeRock 社が公開している以下のセキュリティアドバイザリー に対応しています(Issue #202110-01: Broken Access Control)。
対象
全てのバージョンが対象です。
セキュリティ深刻度
Critical
暫定回避策
下記のエンドポイントに対する外部からのアクセスを拒否します。(構成によりますが「コンテキストパス」は通常「openam」です)
- /コンテキストパス/authservice
- /コンテキストパス/sessionservice
- /コンテキストパス/profileservice
- /コンテキストパス/policyservice
- /コンテキストパス/namingservice
- /コンテキストパス/loggingservice
これらのエンドポイントは OpenAM Policy Agent からの通信とOpenAM サーバー間の通信(OpenAM が複数台構成の場合)で利用します。 OpenAM Policy Agent や OpenAMサーバー からの接続 IP アドレスのみアクセスを許可し、それ以外のアクセスを拒否するようにしてください。
恒久対策
修正版の OpenAMパッケージをリリース予定です。 パッケージがリリースされましたら、OpenAM パッケージのアップデートをお願いいたします。