【セキュリティ修正】allowManagedDomainsOnly/allowManagedReadPathsOnlyが無視される問題を修正
原文(日本語に翻訳)
セキュリティ: 優先度の高いマネージド設定ソースに sandbox ブロックがない場合に allowManagedDomainsOnly / allowManagedReadPathsOnly が無視されていた問題を修正しました。
原文(英語)
Security: Fixed allowManagedDomainsOnly / allowManagedReadPathsOnly being ignored when a higher-priority managed-settings source lacked a sandbox block
概要
エンタープライズ環境でのセキュリティ上重要な修正です。マネージド設定で allowManagedDomainsOnly や allowManagedReadPathsOnly を設定していても、より優先度の高いマネージド設定ソースに sandbox ブロックが存在しない場合、これらの制限が無視される脆弱性がありました。今回の修正により、設定の優先度に関わらずアクセス制限が正しく適用されます。
基本的な使い方
json
// マネージド設定ファイルの例(managed-settings.json)
{
"sandbox": {
"allowManagedDomainsOnly": true,
"allowManagedReadPathsOnly": true,
"allowedDomains": [
"github.com",
"npmjs.org",
"pypi.org"
],
"allowedReadPaths": [
"/home/user/projects",
"/usr/local/lib"
]
}
}この設定はv2.1.126以降、優先度の高い設定ソースに sandbox ブロックがない場合でも正しく適用されます。
実践例
エンタープライズ環境でのアクセス制限設定
json
// システム管理者向けマネージド設定
// /etc/claude-code/managed-settings.json
{
"sandbox": {
// 承認されたドメインのみへのアクセスを許可
"allowManagedDomainsOnly": true,
"allowedDomains": [
"company-internal.com",
"github.com",
"npmjs.org"
],
// 承認されたパスのみの読み取りを許可
"allowManagedReadPathsOnly": true,
"allowedReadPaths": [
"/home",
"/opt/projects",
"/usr/local"
]
}
}複数の設定ソースがある場合の確認
bash
# 設定の優先度を確認
# 高優先度: システムマネージド設定(/etc/claude-code/)
# 中優先度: ユーザーマネージド設定(~/.claude/managed/)
# 低優先度: プロジェクト設定(.claude/settings.json)
# v2.1.126以降: 高優先度設定にsandboxブロックがなくても
# 低優先度設定のallowManagedDomainsOnlyが正しく適用される注意点
- この修正はエンタープライズ・マネージドデプロイメントに影響します
allowManagedDomainsOnlyは許可リスト外のドメインへのWebアクセスをブロックしますallowManagedReadPathsOnlyは許可リスト外のパスへのファイル読み取りをブロックします- セキュリティ設定が正しく適用されているかを確認するため、v2.1.126へのアップデートを推奨します
- 既存の設定を変更する必要はありません。修正は自動的に適用されます