PAM: PAM で使用される cookie に HttpOnly 属性が付与されていない
Article ID: 282474
Updated On:
Products
CA Privileged Access Manager (PAM)
Issue/Introduction
Privileged Access Manager (以下、PAM) のアプライアンスにセキュリティスキャナを実行したら、いくつかの cookie が HttpOnly の属性が設定されていないことが見つかった。
これはセキュリティ上の脆弱性になる可能性があるが、どのように対策したらよいか?
Environment
Privileged Access Manager: 4.1.7 までの全てのバージョン
Resolution
ここで、HttpOnly 属性が設定されていない cookie と設定されていない場合にセキュリティリスクにならない理由について述べます。
| cookie 名 | 説明 |
| Xsuite_IdP_Proxy_Sticky | セッション管理や認証に使用されません。 |
| jsid | PHPSESSIDのコピーとして作成されます。 セッションIDなどをロードするために用いられるため、HttpOnlyに設定できません。 |
| fromindexphp | セッション管理や認証に使用されません。 |
| JSESSIONID | セッション管理や認証に使用されません。 |
上記の通り、これらの HttpOnly 属性が設定されていない cookie はセッション情報を盗んだり、悪意のある攻撃に使用できません。
このため、これらの cookie に HttpOnly 属性が設定されていなくても、脆弱性のリスクとはなりません。
Additional Information
HttpOnly属性の詳細やこの属性が無い場合のセキュリティリスクなどについては製品以外の情報であるため、以下などの一般的な解説サイトをご参照ください。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 281920: Why are some cookies in PAM configured not to be HttpOnly ?
Feedback
Yes
No
Powered by
