セキュリティ脆弱性:一般公開情報 - 2017 年 12 月 12 日 (CVE-2017-4942)

経緯

2017 年 12 月 5 日 (火曜日)、ある SaaS 環境のお客様で一部の情報が開示される問題が発生していたことが VMware AirWatch サポートにより確認されました。この情報開示の問題は、AirWatch を利用するお客様のデバイスの詳細情報が別のお客様の AirWatch コンソールに表示される、というものでした。開示される情報には次のデータが含まれていました。

  • デバイスのフレンドリ名 (例:John の iPad)
  • ユーザー名 (例:jsmith)
  • 加入タイプ (例:従業員所有)
  • プラットフォーム
  • OS
  • E メール
  • モデル (機種) 表示名
  • 組織グループ
  • メモ

VMware AirWatch による調査では、上記のお客様のケース以外に、お客様のデバイス情報が開示されてしまう問題は発生していませんでした。この問題の影響を受けたお客様に対しては、すでに VMware AirWatch から連絡を差し上げています。この問題の報告を受け、VMware AirWatch はただちに問題の調査と影響範囲の分析を行い、サポート対象バージョン用のパッチ作成に取りかかりました。

 

脆弱性の説明

この脆弱性は、AirWatch コンソールに対して相応のアクセス権を持つ管理者においてのみ顕在化します。具体的には、ある組織グループの管理者に対し、他の組織グループのデバイスの詳細情報が表示される、という形をとります。管理者以外の加入ユーザーや権限のないユーザーがこの脆弱性の影響を受けることはありません。

あるテナントが意図せず他のテナントのデバイス詳細情報にアクセスできてしまうというこの脆弱性は、2 つの異なる問題に起因しています。一方の問題は、特定の状況下で生じる UI の不具合により発生します。これにより、誤ったデバイスの詳細情報へのアクセスが試みられます。もう一方は、CVE-2017-4942 として公開されている脆弱性です。これは、正当な権限がない管理者に対して誤ったデバイス詳細情報を表示しようとする際に、その要求に対して適切なアクセス制御確認が行われていないことによるものです。以下の既定の管理者役割には、この問題の発生条件となるアクセス権が設定されています。

  • System Administrator (システム管理者)
  • AirWatch Administrator (AirWatch 管理者)
  • Console Administrator (コンソール管理者)
  • Device Administrator (デバイス管理者)
  • NSX Administrator (NSX 管理者)
  • App Catalog Only Administrator (App Catalog のみの管理者)

 

お客様へのお願い

共有 SaaS 環境:すべての共有 SaaS 環境にはこの脆弱性に対するパッチを適用済みです。共有 SaaS 環境をご利用のお客様は特に何らかの対策をとっていただく必要はありません。この問題は共有 SaaS 環境の AirWatch 9.2.1.10 以降で解決済みです。

専用 SaaS 環境およびオンプレミス環境9.0.1 以降のすべてのバージョンの AirWatch コンソールに対し、パッチをご用意しました。オンプレミス環境をご利用の場合は、次のリンクから各バージョンのパッチをダウンロードしてください。

バージョン
9.2.2 9.2.1 9.2.0 9.1.5
9.1.4 9.1.3 9.1.2 9.1.1
9.1.0 9.0.6 9.0.5 9.0.4
9.0.3 9.0.2  9.0.1   

注:この問題は AirWatch 9.2.2 で解決済みです。貴社環境をマルチ テナント モードで運用していない場合や、管理者にすべての組織グループへのアクセスを許可している場合は、このパッチは必要ありません。

専用 SaaS 環境で AirWatch をご利用の場合、貴社環境にパッチを適用するにはサポート リクエストを提出してください。

 

対処方法

すぐにパッチを適用できない場合は、次の方法で対処してください。各管理者役割において「デバイス詳細」の権限を個別に無効にすることで、この問題を回避できます。必要な操作を次に示します。

  1. アカウント > 管理者 > 役割 と進みます。
  2. 編集 アイコンを選択します。
  3. デバイス管理 > デバイス詳細 と進みます。
  4. デバイス ワイプデバイス削除 の「編集」権限をオフにします。
  5. 保存 をクリックします。

注:役割の編集権限を持つ管理者は、上記の権限を有効化し直すことができてしまいます。これを禁止するには、役割を編集 ダイアログの アカウント > 管理者 > 役割 で役割の「追加/編集」権限をオフにします。

免責事項:これは英文の記事「Security Vulnerability: Public Disclosure - December 12 2017 (CVE-2017-4942)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

2 Comments

Please sign in to leave a comment.