脆弱性CVE-2022-36923について
作成日:2022年8月1日 | 更新日:2023年5月16日
概要
NetFlow Analyzerにおける、脆弱性CVE-2022-36923(以下「本脆弱性」)の詳細と対応についてご案内いたします。
本脆弱性の本社開発元による告知(英語)はこちらをご参照ください。
- 対象ビルド : 12.5.605 / 12.5.476 / 12.5.482(一部のユーザー様に提供)
ビルド番号の確認手順はこちら
国内のリリースビルドはこちら - 対象Edition : Professional / Enterprise
Editionの確認手順はこちら
目次
脆弱性の詳細と影響
本脆弱性は、認証機能の迂回(バイパス)に関する脆弱性です。
NetFlow Analyzer内で適切なリクエスト処理が実行されない事に起因して、ユーザーAPIキーへの非認証アクセスが可能となります。
これによって、ユーザーのAPIキーが認証なしに取得され、外部APIからアクセスされる危険性があります。
脆弱性への対応手順
本脆弱性は、ビルド12.5.606にて修正済みです。
修正ビルド12.5.606は2022年8月5日に正式リリースされました。
本脆弱性の回避のため、ビルド12.5.606以降へアップグレードの上、
NetFlow Analyzerで作成された全ユーザーを対象にAPIキーを再作成してください。
1.
ビルド12.5.606以降へアップグレード
アップグレード手順は下記のナレッジをご参照ください。
NetFlow Analyzer Professional Edition用 最新ビルドへのアップグレード手順
NetFlow Analyzer Enterprise Edition用 最新ビルドへのアップグレード手順
※最新のサービスパックはManageEngine Communityからご取得ください。
ManageEngine Community
ManageEngine Community マニュアル
2.
[製品UI] → 画面右上の[歯車アイコン] → [Rest APIキー] → [キー再作成]をクリック