脆弱性(CVE-2023-28342)の概要および対応方法
作成日:2023年4月6日 | 更新日:2023年5月12日
ADSelfService Plusにおきまして、モバイルアプリ認証APIを介したDoS攻撃の脆弱性(CVE-2023-28342)が確認されました。
本ナレッジの内容は、本社のナレッジベース(CVE-2023-28342 – DoS attack in Mobile App Authentication API)を翻訳、一部加筆したものです。
<目次>
・脆弱性の概要
・脆弱性の重要度
・影響を受けるビルド
・ユーザーへの影響
・対応方法
・関連ページ
脆弱性の概要
Mobile App Authentication APIに対して不正なペイロードを含む呼び出しが行われる度にADSelfService Plusが再起動する脆弱性が確認されました。
脆弱性の重要度
本脆弱性を重要度高(High)と評価しています。
影響を受けるビルド
日本向けにリリースしているビルド6216以下の、すべてのビルドが対象です。
(グローバル向けリリースでは、6217以前のすべてのビルドが対象です。)
ユーザーへの影響
Mobile App Authentication APIが不正なペイロードを受信する度に、ADSelfService Plusが再起動します。
対応方法(2023年5月12日現在)
2023年5月12日現在、本脆弱性の修正が含まれるビルド6300をリリースいたしました。
そのため、最新ビルド6300へアップグレードしてください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4701
対応方法(2023年4月11日現在)
グローバルでは、本脆弱性に対応したビルド 6218をリリースしております。
ただし、2023年4月11日現在、日本国内でリリースしているADSelfService Plusの最新ビルドは「 6216」です。
脆弱性を解消したビルドのリリースまで今しばらくお待ちください。
対応ビルドリリースの際は、保守ユーザーの皆様にメールにてお知らせいたします。