本文へジャンプ

WAS V6.0/6.1 でTAMを使用したSSO構成における、セッション・クロスオーバーの脆弱性

概要

公開日: 2007年6月18日
更新日: 2007年6月28日、更新概要は更新履歴を参照してください。

WAS V6.0/6.1 でTAIを使用してTAMとSSO構成を行っている環境において、セッション・クロスオーバーが発生する場合があります。これにより、異なるユーザーの情報を使用して、WAS上でリクエストが処理される場合があります。

現象

WebSphere Application Server (以下WAS) V6.0/6.1で、認証プロキシー・サーバーとしてTivoli Access Manager (TAM) を使用し、TAI++ (Trust Association Intercepter Plus) の機能によりSSO(シングル・サインオン)を構成している環境で、セッション・クロスオーバーが発生する場合があります。この問題は、大量のユーザー・リクエストが行われ、高負荷がかかった場合に発生する場合があります。

セッション・クロスオーバーが発生することにより、異なるユーザーの情報を使用して、WAS上でリクエストが処理される場合があります。

対象製品

下記の1、2の条件にAND条件で該当する場合に、この脆弱性に該当します。

1.対象の製品

対象バージョン:
WAS V6.0 (WAS V6.0.x.yのすべてのバージョン)
WAS V6.1 (WAS V6.1.0.xのすべてのバージョン)

対象プラットフォーム:Windows, AIX, Linux, Solaris, HP-UX

対象エディション:全てのエディション


かつ

2.対象の設定

TAI++(Trust Association Intercepter Plus)構成を行っている場合、TAI++構成の設定の有無の確認方法は下記の【確認方法】欄を参照ください。

確認方法

【WASのバージョンの確認方法】
お使いのWASのバージョン、Fixレベルの確認方法については、こちらの文書を参照ください。

【FAQ】WAS V4, V5, V6でのバージョン、Fixレベル確認方法

【TAI++構成の有無の確認方法】
WAS V6.0.xの場合

  1. 管理コンソールにログインします。
  2. 左側のナビゲーション・パネルで、[セキュリティー]-[グローバル・セキュリティー]を選択します。
  3. メインのワークスペースで、[認証]の項目の[認証メカニズム]-[LTPA]を選択します。
  4. [追加プロパティー]-[トラスト・アソシエーション]を選択します。
  5. 「トラスト・アソシエーションを使用可能にする 」のチェックボックスの状態を確認します。
    ONの場合: トラスト・アソシエーションが有効です。6のチェックに進んでください。
    OFFの場合: トラスト・アソシエーションは無効です。この脆弱性には該当しません。
  6. [追加プロパティー]-[インターセプター]を選択します。
  7. インターセプター・クラス名「com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus」のリンクをクリックします。
  8. [追加プロパティー]-[カスタム・プロパティー]を選択します。
  9. カスタム・プロパティーの項目に「com.ibm.websphere.security.webseal.loginId」などの名前と値が登録されている場合には、この脆弱性に該当します。
    カスタム・プロパティーに名前が登録されていない場合には、TAI++は設定されていませんので、この脆弱性には該当しません。

WAS V6.1.0.xの場合

  1. 管理コンソールにログインします。
  2. 左側のナビゲーション・パネルで、[セキュリティー]-[管理、アプリケーション、およびインフラストラクチャーの保護]を選択します。
  3. メインのワークスペースで、[認証]の項目の[Webセキュリティー]-[トラスト・アソシエーション]を選択します。
  4. 「トラスト・アソシエーションを使用可能にする 」のチェックボックスの状態を確認します。
    ONの場合: トラスト・アソシエーションが有効です。5のチェックに進んでください。
    OFFの場合: トラスト・アソシエーションは無効です。この脆弱性には該当しません。
  5. [追加プロパティー]-[インターセプター]を選択します。
  6. インターセプター・クラス名「com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus」のリンクをクリックします。
  7. [追加プロパティー]-[カスタム・プロパティー]を選択します。
  8. カスタム・プロパティーの項目に「com.ibm.websphere.security.webseal.loginId」などの名前と値が登録されている場合には、この脆弱性に該当します。
    カスタム・プロパティーに名前が登録されていない場合には、TAI++は設定されていませんので、この脆弱性には該当しません。

対応方法

【WAS V6.0.x/6.1.0.x 共通】
修正プログラムを適用します。
2007年6月18日現在、Web経由での修正プログラムの提供は行われていないため、必要な場合は下記PAテクニカルサポートにお問い合わせください。
この修正プログラムは、次回の累積修正プログラム(6.0.2.21と6.1.0.11)に含まれる予定です。
最新の累積修正プログラムのダウンロードや次回の提供予定日については下記のサイトをご覧ください。

Recommended fixes for WebSphere Application Server (US)

お問い合わせ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様。)
電話 :0120-557-971
受付時間 :月曜日~金曜日 9時~17時(祝日、12月30日~1月3日を除く)

参考情報 (情報源)

IBM Technical Support「PK44264: Unexpected user switch by accidental credential cache hit with SSO enabled configuration.」(US)

更新履歴:
(2007年6月29日) 修正が含まれる予定の累積修正プログラムをV6.1.0.9からV6.1.0.11に変更いたしました。

上に戻る