ADSelfService Plus ナレッジベース

既知の脆弱性 CVE-2021-37423 について


ADSelfService Plusにおきましてパスワード同期エージェントにおける脆弱性(CVE-2021-37423)が確認されました。
本脆弱性につきましては、2022年6月16日リリースのビルド6200で修正しました。

本ナレッジでは、当該脆弱性の詳細について記載します。

※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[CVE-2021-37423: Security vulnerability issue]
https://www.manageengine.com/products/self-service-password/advisory/CVE-2021-37423.html

<目次>
脆弱性について
脆弱性の重要度
影響を受けるビルド
ユーザーへの影響
対応方法

脆弱性について

認証されていないユーザー(攻撃者)により、リモートで​パスワード同期エージェントをデータベースから削除され、
偽造の​パスワード同期エージェントに置き替えられるセキュリティの脆弱性です。

脆弱性の重要度

本脆弱性を重要度高(High)と評価しています。

影響を受けるビルド

日本向けにリリースしているビルド6110までの、すべてのビルドが対象です。
(グローバル向けリリースでは、6123以前のすべてのビルドが対象です。)

ユーザーへの影響

攻撃者は、リモートでデータベースからパスワード同期エージェントを削除し、
偽のパスワード同期エージェントを登録することで、すべてのパスワード同期エージェントの機能にアクセスできます。

対応方法

次の手順を実施してください。

  1. ADSelfService Plusを最新ビルド(6200)にアップグレード
  2. パスワード同期エージェントを再インストール

 

より安全にActive Directoryとのパスワード同期を行うため、ビルド6200では、パスワード同期エージェントにアクセスキーの機能を追加しました。
ビルド6200より前のビルドにはアクセスキーの機能がないため、ビルド6200へアップグレード後、既存のパスワード同期エージェントをアンインストールし、再インストールいただくことを推奨いたします。