【修正済】Desktop Centralの脆弱性(CVE-2020-10189)について
作成日:2020年3月9日 | 更新日:2020年7月14日
【既知の不具合】Desktop Centralの脆弱性(CVE-2020-10189)について
【対象ビルド】
Desktop Central 10.0.478以前のビルド
【問題】
Desktop Centralに任意のコードが実行される可能性のある脆弱性が発見されました( CVE-2020-10189 )。
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10189(CVE, 英語)
- https://nvd.nist.gov/vuln/detail/CVE-2020-10189(米国国立標準技術研究所, 英語)
- ManageEngine Desktop Central remote code execution vulnerability (CVE-2020-10189)(Zoho Corporation, 英語)
【原因】
一部のサーブレット内で、実行中インスタンスにおいて任意のファイル書き込みが可能で合ったために、信頼できないファイルのアップロードが可能であったものです。また、ユーザー定義のデータ入力において適切なバリデーションチェックがされていなかったことにより、信頼できないデータの逆シリアル化が可能であったものです。これら2つの問題を組み合わせることで、Desktop Centralがインストールされたコンピューターに対して任意のコードの実行が可能になります。
【対処方法】
Desktop Centralを10.0.479へのアップグレードを実行してください。なお、アップグレード前後におけるデータのバックアップの実施等、必要な手順につきましてはDesktop Central10.0.479へのアップグレード方法についてのナレッジをご覧ください。
DesktopCentral脆弱性診断ツール/判断基準と対応について も合わせてご確認ください。
【その他の対処方法】
(2020/03/12 10:10 追記)
Desktop Centralのアップグレードが難しい場合は、以下の方法を実行します。
制限事項:この方法を実行した場合、モバイルデバイスからのログ取得ができなくなります。
- <DesktopCentral_Server>\webapps\DesktopCentral\WEB-INF\web.xmlを削除します(デフォルトのパスは\ManageEngine\DesktopCentral_Server\webapps\DesktopCentral\WEB-INF\web.xml です)。
- DesktopCentral_Serverサービスを再起動します。
(2020/03/23 20:10 追記)
- セキュアゲートウェイサーバーをご利用の場合、本脆弱性による影響はございません。
本脆弱性は、2020/03/06 (土) 12:05頃 リモートコード実行の脆弱性についてSteven Seeley氏(Source Incite)よりTwitter上にて報告されたものです。
(2020/03/24 11:05 追記)
「対処方法」にDesktopCentral脆弱性診断ツール/判断基準と対応についてへのリンクを追加しました。