SKYの資産管理ツールにリモートコード実行の脆弱性、緊急パッチが公開
SKYSEA Client Viewに深刻な脆弱性が見つかり、同社がユーザーにパッチ適用を呼び掛けた。JPCERT/CCや警察庁も緊急で注意喚起している。
Skyは12月21日、同社のIT資産管理製品「SKYSEA Client View」に脆弱性が存在するとして、脆弱性を修正するパッチを公開した。JPCERT コーディネーションセンター(JPCERT/CC)や警察庁も緊急情報として注意を呼び掛けている。
JPCERT/CCと情報処理推進機構が運営する脆弱性情報サイト「JVN」や警察庁によると、脆弱性はSKYSEA Client Viewのエージェントプログラムと管理マシンとのTCP通信における認証処理に起因する。SKYSEA Client View Ver.11.221.03およびそれ以前のバージョンが影響を受ける。
影響を受けるバージョンのエージェントプログラムをインストールしている端末では、グローバルIPアドレスが割り当てられており、かつ、SKYSEA Client Viewが通信に使用しているポートをブロックしていない条件下において、第三者が遠隔から任意のコードを実行できてしまうという。
Skyは、ユーザー向けのサポートページ(要ログイン)で修正パッチを公開。12月21日時点で最新の「Ver.11.3(Ver.11.300.08h)」は脆弱性が修正されており、影響を受けないとしている。また一時的な回避策として、SKYSEA Client Viewに対する外部からの通信を制限することにより、影響を軽減できるという。
JPCERT/CCの分析によると脆弱性の深刻度は、共通脆弱性評価システム(CVSS)のバージョン2で「10.0」(最大値10.0)、CVSSバージョン3でも「9.8」(同)と、極めて深刻な評価になっている。
関連記事
- ネット接続機器を狙う攻撃に備えて――JPCERT/CCが注意喚起
インターネット接続機器へのマルウェア感染を狙ったとみられる攻撃が多数観測されており、長期休暇に備えた点検や対策を呼び掛けている。 - IPA、無償のソフトウェア更新確認ツールを機能拡充
新たにGoogle ChromeやiTunes、LibreOfficeに対応した。 - 年末年始のセキュリティ対策、インシデントや製品のサポート終了に備えて
IPAとJPCERT/CCが年末年始の長期休暇に備えたセキュリティ対策を呼び掛けた。ソフトウェアの更新や機器などの持ち出し、緊急連絡体制の点検など注意事項を紹介している。 - 「セキュリティはコストでなく投資」、経産省がガイドラインを改訂
企業や組織でのセキュリティ対策の取り組み事項を記した「サイバーセキュリティ経営ガイドライン」が改訂され、「セキュリティは投資」と明記された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.