脆弱性CVE-2022-36923について
作成日:2022年8月1日 | 更新日:2023年6月6日
概要
OpManagerにおける、脆弱性CVE-2022-36923(以下「本脆弱性」)の詳細と対応についてご案内いたします。
本脆弱性の本社開発元による告知(英語)はこちらをご参照ください。
- 対象ビルド : 12.5.605 / 12.5.476
- 対象Edition : 全て
目次
脆弱性の詳細と影響
本脆弱性は、認証機能の迂回(バイパス)に関する脆弱性です。
OpManager内で適切なリクエスト処理が実行されない事に起因して、ユーザーAPIキーへの非認証アクセスが可能となります。
これによって、ユーザーのAPIキーが認証なしに取得され、外部APIからアクセスされる危険性があります。
本脆弱性は、APIキーを一度も使用していない環境にも影響します。
該当するビルドを利用している場合、使用状況にかかわらず製品のアップグレード(後述)を強く推奨します。
脆弱性への対応手順
本脆弱性は、ビルド12.5.606にて修正済みです。
修正ビルド12.5.606は2022年8月5日に正式リリースされました。
本脆弱性の回避のため、ビルド12.5.606以降へアップグレードの上、
OpManagerで作成された全ユーザーを対象にAPIキーを再作成してください。
APIキーの再作成は、ユーザーアカウント毎に行う必要があります。
REST API等でAPIキーを使用している場合、再作成したものを既存のAPIキーと置き換えてください。
REST API等でAPIキーを使用している場合、再作成したものを既存のAPIキーと置き換えてください。
- ビルド12.5.606以降へアップグレード
アップグレード手順はこちらをご参照ください。最新のサービスパックはManageEngine Communityからご取得ください。
- [製品UI] → 画面右上の[歯車アイコン] → [Rest APIキー] → [キー再作成]をクリック
