OpManager ナレッジベース

脆弱性CVE-2020-12116について


概要

OpManagerにおける、脆弱性CVE-2020-12116の詳細についてご説明いたします。

CVE-2020-12116 詳細

 

対象ビルド

12.4.196より前のビルド全て

脆弱性詳細

CVE-2020-12116は、ディレクトリトラバーサルの脆弱性です。

本脆弱性は、OpManagerインストールディレクトリ下に存在する全ての
ファイルへの不正なアクセスを可能にします。

これによって、第三者からSSHの秘密鍵や証明書、
データベースの内容等に不正アクセスが行われる危険性がございます。

脆弱性の危険性について

OpManagerインストールサーバーが外部から隔離されているネットワーク上に
存在する場合、外部から当脆弱性について攻撃が行われる可能性はございません。

しかしながらこの場合でも、組織内部からの悪意のあるユーザーによる
攻撃は阻止できず、当脆弱性の危険性を完全に無視することはできません。

当該脆弱性の本社開発元による告知(英語)はこちらをご参照ください。

2020年5月上旬に送付された、脆弱性対応に関する英文のメールについて

2020年5月上旬、OpManagerの保守サポートにご契約中の一部のお客様に対して、
ビルド12.4.196より前のビルドで発生している脆弱性(CVE-2020-12116)のご案内及び、
当該脆弱性に対応するために、ビルド12.4.196へのアップグレードを促す英文のメールを送付いたしました。

 しかしながら上記ご案内は、日本国内のお客様を含めた
グローバルのお客様向けに、本社開発元より送付された内容となります。

本メールによって混乱を招いてしまい、大変申し訳ございません。

脆弱性対応ビルドへのアップグレード方法について

本脆弱性(CVE-2020-12116)は、ビルド12.4.196にて修正済であり、
2020年5月29日、ビルド12.4.196の正式リリースを行いました。

そのため、ビルド12.4.196以降のビルドをご利用いただけますでしょうか。

アップグレード方法は下記のナレッジをご参照ください。

・OpManagerの最新版へのアップグレード手順
https://www.manageengine.jp/support/kb/OpManager/?p=2717

【対象ビルド】12.4.196より前のビルド全て