既知の脆弱性 CVE-2021-37423 について
作成日:2022年6月9日 | 更新日:2024年1月18日
ADSelfService Plusにおきましてパスワード同期エージェントにおける脆弱性(CVE-2021-37423)が確認されました。
本脆弱性につきましては、2022年6月16日リリースのビルド6200で修正しました。
本ナレッジでは、当該脆弱性の詳細について記載します。
※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
CVE-2021-37423: Security vulnerability issue
<目次>
・脆弱性について
・脆弱性の重要度
・影響を受けるビルド
・ユーザーへの影響
・対応方法
脆弱性について
認証されていないユーザー(攻撃者)により、リモートでパスワード同期エージェントをデータベースから削除され、
偽造のパスワード同期エージェントに置き替えられるセキュリティの脆弱性です。
脆弱性の重要度
本脆弱性を重要度高(High)と評価しています。
影響を受けるビルド
日本向けにリリースしているビルド6110までの、すべてのビルドが対象です。
(グローバル向けリリースでは、6123以前のすべてのビルドが対象です。)
ユーザーへの影響
攻撃者は、リモートでデータベースからパスワード同期エージェントを削除し、
偽のパスワード同期エージェントを登録することで、すべてのパスワード同期エージェントの機能にアクセスできます。
対応方法
次の手順を実施してください。
- ADSelfService Plusを最新ビルド(6200)にアップグレード
- パスワード同期エージェントを再インストール
より安全にActive Directoryとのパスワード同期を行うため、ビルド6200では、パスワード同期エージェントにアクセスキーの機能を追加しました。
ビルド6200より前のビルドにはアクセスキーの機能がないため、ビルド6200へアップグレード後、既存のパスワード同期エージェントをアンインストールし、再インストールいただくことを推奨いたします。