概要
OpenDJのJMX(Java Management Extensions)RMI(Remote Method Invocation)インターフェースにおけるJavaデシリアライゼーション処理に脆弱性があります。認証なしでこの脆弱性を悪用することで、OpenDJサーバ上で任意コードを実行できる可能性があります。
OpenDJはOpenIdentityPlatformが開発するオープンソースのLDAPサーバで、企業の認証基盤(Active Directory代替、SSOのバックエンド等)として使用されるケースがあります。認証前にRCEが可能なため、深刻度は最高レベルです。
CVSSベクトル
GHSA評価: Critical(数値スコアは非公開)。脆弱性の性質から CVSS v3.1 で 9.8 相当と推定されます。
| 項目 | 内容 |
|---|---|
| 攻撃経路 (AV) | ネットワーク (N) |
| 攻撃複雑度 (AC) | 低 (L) |
| 必要権限 (PR) | 不要 (N) — 認証前に悪用可能 |
| ユーザ操作 (UI) | 不要 (N) |
| 機密性への影響 (C) | 高 (H) |
| 完全性への影響 (I) | 高 (H) |
| 可用性への影響 (A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| opendj-server-legacy | OpenIdentityPlatform | < 5.1.1 |
修正バージョンと対応方法
修正バージョン: OpenDJ 5.1.1
- 現在使用しているOpenDJのバージョンを確認する
- OpenDJ 5.1.1以降にアップデートする
- 即時アップデートが困難な場合は、JMX RMIポートへの外部からのアクセスをファイアウォールで制限することを検討する
- JMX/RMIが不要な場合は、サービスを無効化することも回避策として有効
関連リンク
データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。