脆弱性(CVE-2023-35785)について
概要
ServiceDesk Plusで、二要素認証に関する脆弱性が確認されました。
重要度
高(High)と評価しています。
影響を受けるビルド
日本国内向けにリリースしているServiceDesk Plusでは、ビルド14201以下すべてのビルドが対象です。
日本でリリースしているビルドについては、ServiceDesk Plusリリース情報をご覧ください。
ユーザーへの影響
TOTP(Time-based One-Time Password)ベースの二要素認証を有効化している場合、
ServiceDesk Plusへのログイン時に、二要素認証がバイパスされる可能性があります。
TOTPベースの二要素認証の例:
Google Authenticator、Microsoft Authenticator、その他のカスタムTOTP ベースの認証
脆弱性の影響を確認する方法
現在使用中のServiceDesk Plusがビルド14201以下かどうかを確認します。
ビルド番号の確認方法について、詳細は「ご利用中のビルド番号の確認方法について」をご覧ください。
対処方法
TOTPベースの二要素認証を引き続き利用されたい場合、
本脆弱性に対応した、日本国内向けのビルド14205へアップグレードしてください。
アップグレード手順について、詳細は「日本語版最新ビルドへのアップグレードの流れ」をご覧ください。