OpenAM の脆弱性(CVE-2021-35464)について
ForgeRock より OpenAM の脆弱性 CVE-2021-35464 が公表されました。
ForgeRock Access Management (OpenAM) の特定のエンドポイントにはリモートコード実行の脆弱性が存在します。
この脆弱性は弊社の OpenAM にも該当します。
対象
全てのバージョンが対象です。
暫定回避策
下記のエンドポイント無効化、もしくはアクセスを拒否します。
- /コンテキストパス/ccversion/*
Tomcat でこのエンドポイントを無効化する場合は web.xml で VersionServlet のサーブレットマッピングをコメントアウトします。 変更後は OpenAM を再起動してください。
<servlet-mapping>
<servlet-name>VersionServlet</servlet-name>
<url-pattern>/ccversion/*</url-pattern>
</servlet-mapping>
↓↓
<!--
<servlet-mapping>
<servlet-name>VersionServlet</servlet-name>
<url-pattern>/ccversion/*</url-pattern>
</servlet-mapping>
-->
OpenAM の前段に Apache HTTP Server などの WEB サーバーが配置されている場合は WEB サーバーで拒否しても構いません。1
この対応を行うと管理コンソール等からバージョン情報画面を表示できなくなりますのでご注意ください。 (OpenAM 13 以降では管理コンソールのフッターに OpenAM のバージョンが表示されますが、この表示には影響はありません。)
恒久対策
修正版の OpenAMパッケージをリリース予定です。 パッケージがリリースされましたら、OpenAM パッケージのアップデートをお願いいたします。
WEB サーバーでの対策では不完全である可能性があるため、サーブレットマッピングを変更して下さい(2021/07/19 更新) ↩︎