OpenAM の脆弱性(CVE-2025-8662)について
OpenAMコンソーシアムより OpenAM の脆弱性 CVE-2025-8662 が公表されました。
この脆弱性は OSSTech OpenAM にも該当します。
脆弱性の概要
OpenAM には細工したHTTPリクエストによりSAML IdPとして正常に動作しなくなる脆弱性が存在します。 この脆弱性はサービス運用妨害(DoS)攻撃に利用されるおそれがあります。
本脆弱性は次の両方の条件を満たしている場合に影響があります。
- SAMLホストアイデンティティープロバイダを設定している
- 複数のトラストサークルを設定している
対象
- OpenAM 14.x
- osstech-openam14-14.5.0-69 以前のバージョン
- OpenAM 13.0.0
- osstech-openam13-13.0.0-196 以前のバージョン
- OpenAM11.0.0
- 全てのバージョン
- OpenAM9.5.x
- 全てのバージョン
回避策
複数のトラストサークルをまとめ、一つのみの構成にする
- 設定箇所(OpenAM管理コンソールにて設定)
[連携] - [トラストサークル] に複数存在する場合は一つにまとめる恒久対策
アップデート版の適用をお願いします。
OpenAM11以前のバージョンをご利用のお客様へ
OSのメンテナンス期限が終了しているため、OpenAM9と11の修正パッケージの提供はありません。 暫定対処として回避策を実施し、OSおよび製品のメジャーバージョンアップをご検討ください。
アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
OS について
- Red Hat Enterprise Linux 9 (x86-64)
- Red Hat Enterprise Linux 8 (x86-64)
- Amazon Linux 2 (x86-64)
- Amazon Linux 2023 (x86-64)
OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
# rpm -qa | grep osstechカスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
- /opt/osstech/share/tomcat/webapps/openam
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
リリースノート
アップデート版の修正内容をリリースノートに記載しております。
