Desktop Central オンプレミス版 ナレッジベース

【既知の不具合】Desktop Centralの脆弱性(CVE-2020-15589)について


【既知の不具合】Desktop Centralの脆弱性(CVE-2020-15589)について

【対象ビルド】

Desktop Central 10.0.646より前のビルド

【問題】

上記対象ビルドのDesktop Centralサーバー・エージェント間に、信頼されない通信が発生する可能性があります。( CVE-2020-15589 )。

【詳細】

Desktop Central 10.0.552W エージェント内に含まれるGetInternetRequestHandle、InternetSendRequestExおよびInternetSendRequestByBitrateにおいて、TLS証明書の検証を回避したサーバーとの通信が可能になる脆弱性が確認されています。
本件に加えて、社内ネットワーク内のDNSサーバーに対してDNSスプーフィング等の攻撃を受けることによって、中間者攻撃の可能性があります。

本脆弱性単体では、管理対象側に対してDesktop Centralサーバーの宛先を偽装することはできないことから、攻撃者が社内ネットワークにアクセスし、社内のDNSへの攻撃ができない限り、中間者攻撃の可能性は低いと考えられます。
本脆弱性は、Tomasz Kuczyński氏 と pat0is氏によって報告されました。
【解決方法】

今後のアップグレードをお待ちください。
 

【修正予定ビルド】

Desktop Central 10.0.646以降