対象

• OpenAM 14.x
  • osstech-openam14-14.5.0-1 以前のバージョン
• OpenAM 13.0.0
  • osstech-openam13-13.0.0-186 以前のバージョン
• OpenAM 11.0.0
  • osstech-openam11-11.0.0-136 以前のバージョン
• OpenAM 9.5.x
  • osstech-openam-9.5.5-49 以前のバージョン

OpenAM のセキュリティ脆弱性について

以下の脆弱性に対応しています。

• OpenAMコンソーシアムが公開している Issue
  • Insufficient Entropy · Issue #278 · openam-jp_openam · GitHub
  • Denial of Service vulnerability #280 · openam-jp_openam · GitHub
  • Broken Access Control #283 · openam-jp_openam · GitHub
• CVE が公開しているセキュリティアドバイザリ
  • CVE - CVE-2023-24998

ユーザーコードの強度に関する脆弱性

• 対象: 14.x / 13.0.0

OpenAM から発行された OAuth2 のユーザーコードはエントロピーの不足により強度が十分ではありません。 この脆弱性はブルートフォース攻撃に利用されるおそれがあり、攻撃の結果ユーザーが攻撃者のアカウントに紐づけられたアクセストークンを受け取ってしまう可能性があります。

この脆弱性は OpenAM を OAuth2 サーバーとして利用し、かつデバイスフローを利用している場合に影響があります。

サービス運用妨害（DoS）の脆弱性

• 対象: 14.0～14.1 / 13.0.0 / 11.0.0 (※ 14.2 以降は対象外)

OpenAM の特定のエンドポイントにはサーバーリソースを消費する脆弱性があります。この脆弱性はサービス運用妨害（DoS）攻撃に利用されるおそれがあります。

この脆弱性は以下の URL に一般ユーザーがアクセス可能な場合に影響があります。 (構成によりますが、「コンテキストパス」は通常「openam」です)

• /コンテキストパス/index.jsp

アクセス制御の不備に関する脆弱性

• 対象: 全てのバージョン

OpenAM の特定のエンドポイントにはアクセス制御の不備の脆弱性が存在します。この脆弱性により OpenAM の設定情報が漏えいするおそれがあります。

この脆弱性は以下の URL に一般ユーザーがアクセス可能な場合に影響があります。 (構成によりますが、「コンテキストパス」は通常「openam」です)

• /コンテキストパス/jaxrpc

Apache Commons FileUpload の脆弱性(CVE-2023-24998)

• 対象: 14.0～14.1 / 13.0.0 / 11.0.0 / 9.5.x (※ 14.2 以降は対象外)
• CVSSによる深刻度: 7.5

Apache Software Foundation が提供する Apache Commons FileUpload ライブラリにおける脆弱性です。マルチパートリクエストの処理に問題があり、サービス運用妨害（DoS）攻撃を受ける可能性があります。

恒久対策

アップデート版の適用をお願いします。

アップデートパッケージの入手方法

お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

OS について

• Red Hat Enterprise Linux 8 (x86-64)
• Red Hat Enterprise Linux 7 (x86-64)
• Red Hat Enterprise Linux 6 (x86-64)

OpenAM のバージョンについて

rpm パッケージを導入されている場合は下記のコマンドでご確認ください。

# rpm -qa | grep osstech

カスタマイズの有無などについて

下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。

• カスタマイズモジュールを導入している
  • 画面のカスタマイズをされている場合
  • 認証モジュールのカスタマイズをされている場合
• OpenAM の配備方法が弊社標準とは異なる
  • OpenAM 13.0.0 および 14.0.0 の標準配備先:
    • /opt/osstech/share/tomcat/webapps/openam
  • OpenAM 11.0.0 の標準配備先:
    • /opt/osstech/share/tomcat7/webapps/openam
  • OpenAM 9.5.x の場合の標準配備先:
    • /opt/osstech/share/tomcat6/webapps/openam.war

リリースノート

アップデート版の修正内容をリリースノートに記載しております。

• OpenAM 14 リリースノート
• OpenAM 13 リリースノート
• OpenAM 11 リリースノート
• OpenAM 9 リリースノート