【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2020-28050)について
作成日:2021年3月30日 | 更新日:2022年2月9日
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28050(CVE,英語)
- https://nvd.nist.gov/vuln/detail/CVE-2020-28050(米国国立標準技術研究所, 英語)
- https://www.manageengine.com/products/desktop-central/cve-2020-28050.html(Zoho Corporation, 英語)
【既知の問題】CVE-2020-28050について
対象ビルド
Desktop Central 10.0.647以前(2021年3月末時点での日本国内にてリリースされている全てのビルドを含む)
問題
Desktop Centralは、サーバーと各エージェント間の通信を単一のトークンによって認証しています。そのため、エージェントのインストールされたコンピューターが何者かに侵害された場合、任意の情報をエージェントからサーバーに送信可能になる脆弱性があります。
この脆弱性は、管理対象コンピューターが他の脆弱性等によって既に危険な状態になっている場合にのみ、影響が発生します。
解決方法
日本国内向け最新ビルドにアップグレードします。
修正済みビルド
Desktop Central 10.0.648以降(Desktop Central 10.1.2137.11 を含む)
Desktop Central 10.0.648以降において、各エージェントごとに別個のクライアント証明書を使用したサーバー・エージェント間の通信機能がご利用可能になる予定です。詳細はこちらの記事(英語)をご覧ください。