2024年7月11日
OneLogin ご契約の皆様
ペンティオ株式会社
IDaaS事業部
OneLogin Engineer&Support Group
平素、お世話になっております。
ペンティオ株式会社 OneLoginサポートチームです。
米国One Identityは、2024年7月11日(木曜日)にOneLoginをご利用のみなさまへ JavaScript ライブラリ「Polyfill.io」の脆弱性(CVE-2024-38526)によるOneLoginへの影響についてご案内メールを送信いたしました。本記事では、メーカーからのご案内を日本語でお伝えいたします。
OneLoginへの影響
本脆弱性における、OneLoginユーザーへの影響は一切ございません。
実施された対応策
以下、OneLoginおよびOneLoginが利用しておりますサードパーティサービスで実施いたしましたインシデントへの初期対応をご報告いたします。
- ドメインホストサービスである NameCheap は Polyfill.io ドメインを保留状態にして、外部からの接続ができないよう遮断措置を実施しました
- インターネットセキュリティサービスである Cloudflare は、Polyfill.io ライブラリの内容を同社が保有する安全なバージョンである cdn.polyfill.io にリアルタイムで書き換える対応を実施いたしました
上記の対応によって、OneLoginのプラットフォームや当社の顧客に対する損害がないことを確認しております。 また米国One Identityは、上記初期対応による安全対策の後、OneLoginのすべてのソースコードからPolyfill.ioへの参照をすべて削除いたしました。そのため現在及び今後も本脆弱性の影響を受けることはございません。
今後の取り組み
OneLoginは今後も、使用しているサードパーティのコンポーネントを注意深く監視し、セキュリティ上の脅威情報をチェックすることで将来発生する問題へ機敏に対応して参ります。
今後とも変わらぬご愛顧のほど、よろしくお願い申し上げます。
One Identity サポートからのご案内について
OneLoginの特権管理者のみなさまには「One Identity Support Product Critical Notification - polyfill.io review」という件名のメールがOne Identity Support(oneidentity@oneidentity.com)又は Quest Japan(Quest.japan@quest.com)から、2024年7月11日午後1時30分頃に送信されております。お手元のメールボックスをご確認ください。受信が確認出来ない場合には、OneLoginのAccount Owner権限を持つユーザーのご登録メールアドレスのメールボックスについてもご確認頂ますようお願い申し上げます。
■ メールイメージ