【最新ビルドで修正済み】Desktop Centralの脆弱性(CVE-2022-23779)について
作成日:2022年4月20日 | 更新日:2022年4月20日
【既知の不具合】Desktop Centralの脆弱性(CVE-2022-23779)について
【対象ビルド】
Desktop Central 10.1.2137.7 以前のすべてのビルド
※ 日本国内でリリースされている Desktop Central 10.0.644 以前のビルドが含まれます。一方で、Desktop Central 10.1.2137.11 は対象外です。
ビルドの数え方および数え方の変更についてはこちらのナレッジをご覧ください。
※ 本脆弱性の Desktop Central Cloud への影響はありません。
【問題】
上記対象ビルドの Desktop Central レポートモジュールには、内部ホスト名の開示の脆弱性が存在します。
Webサーバーが、管理対象がリクエストするいくつかのURLをリダイレクトするよう構成されているため、リダイレクトのHTTPレスポンスから、Desktop Central サーバー名が確認可能になります。
- hhttps://www.manageengine.com/products/desktop-central/cve-2022-23779.html(Zoho Corporation, 英語)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23779(CVE)
- https://nvd.nist.gov/vuln/detail/CVE-2022-23779(NIST)
【影響範囲】
Desktop Central サーバーのホスト名が開示されることで、更なる攻撃に使用される可能性があります。
モバイルデバイスの管理や、社外のコンピューターの管理をするために、Desktop Central を外部からアクセス可能にする必要がある場合、DMZ に セキュアゲートウェイサーバーを設置することを推奨します。Desktop Central サーバー自体を DMZ に設置して公開するのはリスクが高いため、お止めください。
【対処方法】
日本国内向け最新ビルドにおいて修正済みです。Desktop Central 10.1.2137.11 以降のビルドアップグレードして対応します。