このほど、コミュニケーションツール「Slack」のSAML実装に認証をバイパスできる脆弱性が存在していたと「Slack SAML authentication bypass|INTO THE SYMMETRY」が伝えた。この脆弱性はすでに修正されており、問題が解決したためこのタイミングで情報が公開されたものと見られる。Slackを使用している場合は常に最新版を利用することが望まれる。
SlackのSAML実装に脆弱性が存在していることは2017年5月には明らかになったとされている。掲載されている情報によれば、次のタイムラインで脆弱性修正へ向けた取り組みが進められている。
- 2017/05/02 - Hackerone経由で脆弱性を報告
- 2017/05/03 - Slackが問題を認識
- 2017/08/26 - Slackから報奨金として3000米ドルが提示される。ただし、問題の影響を受けることになる顧客に関して脆弱性を解決する必要があるとし、チケットはオープンのままを維持
- 2017/08/26 - Slackがチケットをクローズ
Slackは世界中で広く使われているコミュニケーションツールの1つ。企業内やプロジェクト間コミュニケーションなどさまざまなシーンで使われており、重要度の高いアプリケーションとなっている。
