Sustainsys.Saml2 ライブラリをバージョン 1.0.2 にアップグレード

FlexNet Manager Suite バージョン 2022 R1

CVE-2020-5268 脆弱性に対して、Sustainsys.Saml2 ライブラリのバージョンが 1.0.2 にアップグレードされました。

この脆弱性は FlexNet Manager Suite バージョン 2016 R1 SP1 (2016 年 12 月 15日リリース) 以降に影響し、FlexNet Manager Suite 2022 R1 で修正されています。

CVE-2020-5268 の概要

Sustainsys.Saml2 ライブラリが受領したすべてのトークンを、別のサブジェクト確認メソッドが指定されていても、誤ってベアラートークンとして取り扱いました。アタッカはこの脆弱性を利用して、ベアラーではなく別のサブジェクト確認メソッドを使って Saml2 トークンへのアクセスを行うことができます。アタッカは、そのようなトークンを使ってセッションでログを作成することができます。

対処方法

ご使用中の環境でこの脆弱性を修正するためには、次の手順を行なってください:

FlexNet Manager Suite 2022 R1 にアップグレードします。
注: アップグレードの前に、web.config file から現在の kentor.authservices 構成のコピーを作成してください。この情報は後で必要となります。

FlexNet Manager Suite 2022 R1 にアップグレードした後、次の 2 つの処理を完了してください:
以前のバージョンの FlexNet Manager Suite で使用されていた kentor.authservices 構成を、web.config ファイルの新しい sustainsys.saml2 セクションに適用します。
- 属性およびプロパティはそのまま保持し、値の更新は不要です。唯一必要な処理は、アップグレード前の FlexNet Manager Suite バージョンから kentor.authservices 構成を web.config ファイルの新しい sustainsys.saml2 セクションにコピー/貼り付けすることです。メモ: signOn 要素の authenticationType 属性が Saml に設定されていることを確認してください。
ID プロバイダーのシングルサインオンおよびシングルログアウト URL を更新します。
- https://wapsvr/Suite/AuthServices/Logout を https://wapsvr/Suite/Saml2/Logout に更新します。
- https://wapsvr/Suite/AuthServices/Acs を https://wapsvr/Suite/Saml2/Acs に更新します。

前述の処理を完了しない限り、SSO を使用するカスタマーは、FlexNet Manager Suite 2022 R1 にログオンすることができません。

FlexNet Manager Suite 2022 R1 へのアップグレードは必須ではありません。また SSO 認証は既存のリリースおよび新しいインストールで引き続き正常に動作します。ただし、FlexNet Manager Suite のバージョン 2016 R1 SP1 以降を実行中のカスタマーは、CVE-2020-5268 脆弱性の影響を受け易いです。

FlexNet Manager Suite (オンプレミス)

2023 R1