「OpenAM」に「秘密の質問」を書き換えてPW変更が可能となる脆弱性
オープンソースで提供されている認証サーバ「OpenAM」に「秘密の質問」が書き換えられ、パスワードを変更されるおそれがある脆弱性が含まれていることが明らかとなった。脆弱性を修正するアップデートが提供されている。
脆弱性情報のポータルサイトであるJVNによれば、「同13.0」のユーザー向けセルフサービス機能において、セッション管理の脆弱性「CVE-2018-0696」が含まれていることが明らかとなったもの。
同製品へログインできるユーザーが脆弱性を悪用することで、「秘密の質問(Security Questions)」を不正に書き換え、パスワードを変更することが可能になるという。
同脆弱性は、オープンソース・ソリューション・テクノロジの岩片靖氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。
OpenAMコンソーシアムより、脆弱性を修正するアップデートが提供されているほか、緩和策として「秘密の質問」を利用したパスワードリセットの無効化が案内されている。
(Security NEXT - 2018/10/15 )
ツイート
PR
関連記事
「Ivanti Sentry」に複数の深刻な脆弱性 - 修正版を公開
Adobe、「Adobe Acrobat Reader」に20件の脆弱性 - アップデートを公開
Adobeのマーケティング管理製品にRCE脆弱性 - 緊急対応を
SAP、月例アドバイザリを公開 - 「クリティカル」が4件
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Veeam Backup & Replication」のバックアップサーバにRCE脆弱性
「FortiSandbox」のウェブUIに深刻なRCE脆弱性- アップデートを
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も
