OpenAM の脆弱性(CVE-2026-33439)について
OSSTech OpenAM に HTTP パラメーターを検証なしにデシリアライズする脆弱性 (CVE-2026-33439) が見つかりました。 攻撃者が細工した HTTP パラメーターを受け付けることによりサーバー上で任意のコマンドが実行される恐れがあります。
OpenAM 13 および OpenAM 14 向けに修正パッケージを提供いたします。 ご利用のお客様は後述の回避策を実施、もしくはアップデート版を適用してください。
OpenAM 9 および OpenAM 11 は OS のメンテナンス期限が終了しているため、修正パッケージの提供はありません。 回避策を実施し、OS および製品のメジャーバージョンアップをご検討ください。
対象
- OpenAM 14.x
- osstech-openam14-14.5.0-102 以前のバージョン
- OpenAM 13.0.0
- osstech-openam13-13.0.0-197 以前のバージョン
- OpenAM11.0.0
- 全てのバージョン
- OpenAM9.5.x
- 全てのバージョン
恒久対策
アップデート版の適用をお願いします。
回避策
OpenAM サーバーの前段に配置された WAF や WEB サーバー等で jato.clientSession パラメータ付きのアクセスを拒否してください。
Apache HTTP Server の設定例
mod_securty の導入が必要です。
LoadModule security2_module modules/mod_security2.so
SecRuleEngine On
SecRule ARGS_NAMES "@rx ^jato\.clientSession$" \
"id:1001,phase:2,deny,status:400,msg:'Blocked: jato.clientSession'"アップデートパッケージの入手方法
お客様がご利用中の OpenAM の環境について、下記の動作 OS、ご利用中のOpenAMのバージョンの情報、およびカスタマイズの有無などをご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
OS について
- Red Hat Enterprise Linux 10
- Red Hat Enterprise Linux 9
- Red Hat Enterprise Linux 8
- Amazon Linux 2
- Amazon Linux 2023
OpenAM のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
# rpm -qa | grep osstechカスタマイズの有無などについて
下記の条件に当てはまる場合は、標準のアップデート方法が適用できません。弊社へご連絡の際に下記の条件に当てはまる旨をお知らせください。弊社より個別のアップデート方法をお知らせします。
- カスタマイズモジュールを導入している
- 画面のカスタマイズをされている場合
- 認証モジュールのカスタマイズをされている場合
- OpenAM の配備方法が弊社標準とは異なる
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
- /opt/osstech/share/tomcat/webapps/openam
- OpenAM 13.0.0 および 14.0.0 の標準配備先:
リリースノート
アップデート版の修正内容をリリースノートに記載しております。
