脆弱性(CVE-2024-0252)の概要および対応方法
作成日:2024年1月17日 | 更新日:2024年3月27日
ADSelfService Plusにおきまして、負荷分散のコンポーネントにおけるリモートコード実行(RCE:Remote Code Execution)の脆弱性(CVE-2024-0252)が確認されました。
本脆弱性につきまして、修正を含む日本語版ビルドのリリース予定は、1/18/2024時点で未定です。
また、グローバルでは2024年1月10日リリースのビルド6402で修正しました。
本ナレッジでは、当該脆弱性の詳細について記載します。
※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
Security advisory for CVE-2024-0252
脆弱性の概要
攻撃者が通常のドメインユーザーの資格情報を持つ場合、別のドメインコンピューターからログインし、ADSelfService Plusサーバー(ADSelfService Plusがインストールされているサーバー)のクラスターを作成できる可能性があります。
攻撃者のドメインコンピューターがセカンダリサーバーとして正常に追加された場合、攻撃者はADSelfService Plusサーバー上で任意のコマンドを実行できます。
負荷分散を設定している場合/未設定の場合に関わらず、すべてのADSelfService Plusに脆弱性があります。
脆弱性の重要度
本脆弱性を重要度高(High)と評価しています。
影響を受けるビルド
日本向けにリリースしているビルド6308までの、すべてのビルドが対象です。
(グローバル向けリリースでは、6401以前のすべてのビルドが対象です。)
ユーザーへの影響
攻撃者により、ADSelfService Plusサーバー上でRCEを実行される可能性があります。
対応方法(3月27日更新)
本脆弱性の修正が含まれるビルド6404にアップグレードすることで対応できます。
アップグレード方法につきましては、こちらのナレッジをご参照ください。
対応方法(1月18日現在)※過去の情報です。
最新の対応方法は、上記の「対応方法(3月27日更新)」をご確認ください。
本脆弱性の修正が含まれるビルド6402(グローバル版サービスパック)にアップグレードすることで対応できます。
注意事項
新機能および機能強化の箇所につきまして、一部正しく日本語が表記されない可能性があります。弊社サポートでは、日本でリリースしたビルドのサポートを行っております。
そのため、新機能および機能強化部分などに関するご質問につきましては、回答にお時間をいただく可能性があります。アップグレード前に、必ずADSelfService Plusのバックアップを取得してください。
詳細は、サービスパックのインストール手順(アップグレード方法)をご参照ください。
ビルド6402へのアップグレード方法
ビルド6300またはビルド6308からビルド6402へアップグレードするには、2つのサービスパックを適用する必要があります。
次の順番でサービスパックを一つずつ適用してください。
ビルド6400へアップグレード(ビルド6400のグローバル版サービスパックはこちら)ビルド6402へアップグレード(ビルド6402のグローバル版サービスパックはこちら)
日本語版のリリースにつきましては、現在対応中となり、1/18/2024時点では提供をおこなっておりません。
アップデートがあり次第、本ナレッジを更新いたします。