「Okta」にポリシー回避の脆弱性 - 修正を実施、ログの確認を
Oktaは、同社が提供する「Okta Classic」アプリケーションに特定の条件下でサインオンポリシーをバイパスされる脆弱性が判明し、修正したことを明らかにした。脆弱性の悪用がなかったか、ログを確認するよう求めている。
同社によると、悪用には正規の認証情報が必要となるが、アプリケーション固有のサインオンポリシーに設定された条件をバイパスできる脆弱性が判明したという。
グローバルセッションポリシー外で設定されたネットワークゾーンやデバイスタイプの制限など特定の条件が無視されるおそれがある。
同脆弱性は、現地時間7月17日にリリースされたバージョンに存在。9月27日に脆弱性が判明し、10月4日にすべての本番環境やプレビュー環境に対し、パッチを適用した。
同社は脆弱性が存在した7月17日から10月4日までに、デバイスタイプが「不明」とされるユーザーエージェントからの予期しない認証が行われていないか、ログより確認するよう利用者に求めている。
(Security NEXT - 2024/10/07 )
ツイート
PR
関連記事
まもなくGW - 長期休暇前にセキュリティ対策状況の点検を
「Java SE」にセキュリティ更新 - 脆弱性11件を修正
Oracle、四半期定例パッチをリリース - のべ481件の脆弱性に対応
「Apache Airflow」にRCE脆弱性 - 評価に大きな差
ログ分析基盤「CrowdStrike LogScale」に深刻な脆弱性 - 修正版へ更新を
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
公共交通機関内で端末画面に個人情報表示 - 第三者から指摘
一部イベント賞品で別人の宛名、回収など実施 - 東京観光財団
第三者が従業員名簿を詐取、なりすましに注意喚起 - 日本カーソリューションズ
都で宅建業者の始末書などが所在不明 - 行政処分手続き時に判明
