オープンソース資料館
ForgeRock社AccessManagerにセキュリティ・アラート
2021.7.: ForgeRock Access Manager
AM Security Advisory #202104/CVE-2021-35464
AccessManagement(AM) 製品にセキュリティ脆弱性が発見されました。この脆弱性はバージョン およびサポート終了後の古いバージョン にも影響します。ユーザは可能な限り早く対応することを強く推奨します。本事象はAM7 およびそれ以降には影響しません。
セキュリティのレベルは:Critical (クリティカル)、です。
このセキュリティ警告では、システムを安全にするためのすぐに適用すべきワークアラウンドを提供します。このワークアラウンドはサポート中のバージョンはもちろん、サポートが終了している古いバージョンも含めて有効なはずです。
加えて、より詳細な情報とインパクトがあるかどうかを確認する方法についてはテクニカル・インパクト・アセスメントCVE-2021-35464 資料を参考にしてください。パッチの詳細もありますが、まずはワークアラウンドを実施することを推奨します。
Issue #202104-01 Remote Code Execution (CVE-2021-35464)
Affected versions | AM 5.x, 6.0.0.x, 6.5.0.x, 6.5.1, 6.5.2.x and 6.5.3 OpenAM 9.x, 10.x, 11.x, 12.x and 13.x |
Fixed versions | AM 7 |
Component | Core Server |
Severity | Critical |
説明:
攻撃者はよく構築されたリクエストを使用して、特別に作成されたリクエストを公開されたリモートエンドポイントに送信することで、リモートコードを実行できる可能性がある。
ワークアラウンド(回避策):
2つのオプションがある。
・ワークアラウンド(回避策)・オプション1:
ファイルの次のセクションをコメントアウトしてVersionServletマッピングを無効にします(たとえば、このファイルはApacheTomcatの"/path/to/tomcat/webapps/openam/WEB-INF"ディレクトリにあります)。
<servlet-name>VersionServlet</servlet-name>
<url-pattern>/ccversion/*</url-pattern>
</servlet-mapping>
上記のセクションをコメントアウトするには、web.xmlファイルに次の変更を適用します。
<!--
<servlet-name>VersionServlet</servlet-name>
<url-pattern>/ccversion/*</url-pattern>
</servlet-mapping>
-->
Tomcatの場合、Webアプリケーションコンテナを再起動するだけで、これらの変更を適用できます。
JBossの場合、更新されたweb.xmlファイルでファイルを再パックし、redeployする必要があります
・ワークアラウンド(回避策)・オプション2:
リバースプロキシまたは他の方法でccversionエンドポイントへのアクセスをブロックします。Tomcatの場合、既知の問題であるパス・トラバーサルの問題を利用してアクセス・ルールがバイパスできないようにします。(パス・トラバーサル)
解決策:
サポート中のバージョンについてはお客様向けのサポートポータルBackStageにパッチを用意しています。バージョン6.5.3用のパッチがAM6のすべてのバージョンで利用可が可能です。
英語原文
ForgeRock Security Advisory 202104
ご相談ください
OSSPlazaへのお問い合わせは、お問合せはこちらへ。