SentryのSAML SSOに重大な認証欠陥——CVE-2026-42354でマルチ組織環境の任意アカウントを乗っ取り可能
Sentryのマルチ組織自己ホスト環境でSAML SSOの認証欠陥(CVE-2026-42354)が発覚。悪意あるIdPを利用した任意アカウント乗っ取りが可能。修正版は26.2.0以上。
← タグ一覧
#authentication (5 件)
CVE-2026-40372(CVSS 9.1):ASP.NET Core Data ProtectionのHMACバグが全認証Cookieを偽造可能にした——.NET 10.0.0〜10.0.6が対象、即時10.0.7へ更新+鍵ローテーション必須
Microsoft.AspNetCore.DataProtection 10.0.0〜10.0.6に存在するHMACの計算誤りにより、攻撃者がゼロバイトHMACで認証Cookieを偽造できる。CVSS 9.1、主にLinux/macOS上の.NET 10アプリが対象。10.0.7へのアップグレードに加え、DataProtection鍵リングのローテーションが必須。
JWTの落とし穴:セキュアな認証設計のために
JWT(JSON Web Token)の仕組みと、よくある実装ミスを解説。アルゴリズム混乱攻撃・トークン失効問題・シークレット管理など、セキュアに使うための実践的なガイドです。
OAuth 2.0とOpenID Connectを正しく理解する
「ログインしてください」の裏で何が起きているか。OAuth 2.0の認可フロー・スコープ・トークンの種類と、認証のためのOpenID Connectの仕組みをシーケンス図と実装例で解説します。
パスワードハッシュの正しい実装:bcrypt・Argon2・scrypt
パスワードの保存に SHA-256 を使っていませんか?bcrypt・Argon2・scryptの違いと正しい使い方、コスト係数の選び方、レインボーテーブル対策、データ漏洩時の影響を解説します。