【最新版ビルドで修正済み】Patch Manager Plusの脆弱性(CVE-2021-44515)について
作成日:2021年12月6日 | 更新日:2022年2月15日
【既知の不具合】Patch Manager Plusの脆弱性(CVE-2021-44515)について
【対象ビルド】
Patch Manager Plus Enterprise Edition 10.1.2127.17以前のビルド および 10.1.2128.0 から 10.1.2137.2 のビルド
※ 日本国内での最新ビルドが 10.0.642 のため、日本国内でリリースされている全てのビルドが対象となります。
※ クラウド版(Patch Manager Plus Cloud)に影響はありません。
【問題】
上記対象ビルドのPatch Manager Plusには、認証バイパスの脆弱性が存在し、Patch Manager Plus任意コード実行の被害を受ける恐れがあります。 (CVE-2021-44515)。
- 未公開 (CVE,英語)
- 未公開 (NVD,英語)
- https://www.manageengine.com/products/desktop-central/cve-2021-44515-authentication-bypass-filter-configuration.html(Zoho Corporation,英語)
- https://pitstop.manageengine.com/portal/en/community/topic/an-authentication-bypass-vulnerability-identified-and-fixed-in-desktop-central-and-desktop-central-msp(Zoho Corporation,英語)
【詳細】
Patch Manager Plusにおいて、認証バイパスの脆弱性が特性されました。この脆弱性を悪用されると、サーバー側において任意コード実行の被害を受けるおそれがあります。
外部からネットワークアクセスできない環境でPatch Manager Plusご使用の場合、本脆弱性による攻撃を受ける可能性は低いと考えられます。しかしながら、可能な限り早急な対応をおすすめいたします。
対処方法
最新版ビルドへアップグレードします。
本脆弱性の修正ビルド Patch Manager Plus 10.0.644 へアップグレードします。
Patch Manager Plus 10.0.643 リリースノートPatch Manager Plus 10.0.643 へのアップグレード手順Patch Manager Plus 10.0.644 リリースノートPatch Manager Plus 10.0.644 へのアップグレード手順