Skip to main content

 

2016-07-12 - セキュリティの問題 - JavaにおけるLDAP認証で空のパスワードが許可される

 

OutSystems

2016-07-12 - セキュリティの問題 - JavaにおけるLDAP認証で空のパスワードが許可される

概要

OutSystemsは、Javaで実行されているOutSystemsプラットフォームでLDAP認証を使用するときの脆弱性を解決するセキュリティアップデートを公開しました。

この脆弱性により、Service CenterとLifeTimeで空のパスワードが有効なものとして許可されます。Service CenterでLDAPAuthProviderを使用してLDAPに対する認証を行うように構成されている場合、攻撃者はこれを使用してパスワードのないユーザーで認証を行うことが可能です。

デフォルトでは、OutSystemsアプリケーションのインタラクティブなユーザーログインで空のパスワードを使用することはできません。REST Webサービスや、アプリケーションがUser_Loginアクションに渡されるパスワードのサイズをチェックしないコードでベーシック認証を使用している場合にリスクがあります。

この問題が発生する原因は、LDAP認証の特殊な性質です。空のパスワードを使用しているときにLDAPサーバーに対する認証を行った場合、OutSystemsプラットフォームでは認証が失敗したかどうかの判定を想定しているため、エラーにはなりません。修正するには、LDAP認証の検証のベストプラクティスに従って空のパスワードを指定できないようにします。

プラットフォームのスタックへの影響

.NET

.NETユーザーへの影響はありません。

Java

8.0.1.70、9.0.1.67、および9.1.501.0以下のJavaユーザーに影響を及ぼします。

クラウド

OutSystems CloudではService CenterおよびLifeTimeへの影響はありません。Javaスタックのユーザーは、アプリケーションでLDAP認証の使用状況を確認する必要があります。

脅威レベル

.特権ユーザー(admin)をパスワードなしで認証することができます。

ユーザーによる対応事項

この脆弱性によって攻撃者がServiceCenterの任意のユーザーで認証を行うことが可能なため、LDAPAuthProviderを使用しているJavaユーザーはただちに以下のクイックフィックスを適用する必要があります。また、この修正には副作用がないため、影響の有無が不明なユーザーも修正を適用する必要があります。

クイックフィックス

脆弱性にただちに対処するため、このクイックフィックスを適用してください。

このクイックフィックスは拡張機能として提供され、サポート対象のOutSystemsプラットフォームのメジャーバージョンのすべての保守アップデートに対して有効です。

クイックフィックスをダウンロードするには、OutSystemsのメジャーバージョンを以下のリストから選択してください。

クイックフィックスを適用するには、各環境内で以下の手順を実行します。

  1. Service Centerで拡張機能をパブリッシュします。
  2. 「all content」ソリューションを再パブリッシュします。

OutSystemsによる対応

OutSystemsは、脆弱性をただちに解決するためにユーザーが適用する必要がある上記のクイックフィックスを作成しました。

また、以下の期日に予定されている次回のOutSystemsプラットフォームの保守アップデートにもこのクイックフィックスが含まれます。

  • 8.0 - 9月16日
  • 9.0 - 7月29日
  • 9.1 - 8月12日