SSOツール「Atlassian Crowd」に脆弱性報告、サービス乗っ取りの恐れ

脆弱性を悪用された場合、組織のシングルサインオンサービスを完全に制御される恐れがあるという。

» 2013年07月02日 07時23分 公開
[鈴木聖子,ITmedia]

 セキュリティ企業のCommand Fiveは、各国の大手企業が採用しているシングルサインオン(SSO)ツールの「Atlassian Crowd」に深刻な脆弱性が見つかったとして、6月28日付でアドバイザリーを公開した。

 CrowdはオーストラリアのソフトウェアメーカーAtlassianが提供しているSSO/ID管理ツール。同社のWebサイトによれば、世界55カ国で大手企業や政府機関など2万5000社以上に採用されているといい、日本の企業では楽天、富士通、NECといった大手の名が顧客企業として掲載されている(Crowd以外の採用事例を含む)。

 Command Fiveによれば、Crowdの脆弱性はCrowd 2.6.2までのバージョンに存在していたもので、リモートから認証を経ずに悪用される恐れがある。特定の状況下で、組織のシングルサインオンサービスを完全に制御される可能性も指摘している。危険度は共通指標CVSSのベーススコアで9.4(最高値10.0)と評価している。

 Command Fiveは6月5日にこの問題をAtlassianに報告し、脆弱性を修正したCrowd 2.6.3が6月24日にリリースされたという。

 Command Fiveによると、Crowdを含むAtlassianの製品には2012年にも同様の脆弱性が見つかり、Metasploitにもこの脆弱性を突くモジュールが組み込まれた。同モジュールはCrowd 2.6.2までのバージョンに対して通用するといい、Command Fiveではユーザーに対し、直ちにCrowdを最新版にアップデートするよう促している。

関連キーワード

脆弱性 | シングルサインオン


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ