以前の App Catalog URL での情報漏出

現象

以前の App Catalog プロファイルを展開している場合、ハードウェアの識別情報が外部に露出することがあるという問題が確認されています。これは、承認されていないユーザーにシステム データへの直接アクセスを許してしまう類のセキュリティ脆弱性ではありません。しかし、お客様によっては、この種の情報を機密性の高い情報として位置付けている場合もあります。その場合は、この問題の影響を受けない新しいカタログを新しいカタログを利用することで、問題に対処いただくようお願いいたします。 

 

貴社環境での確認方法

貴社の SaaS 環境またはオンプレミス環境で展開しているプロファイル (iOS の Web クリップ プロファイル、Android のブックマーク プロファイル、など) において、次の書式で明示的に App Catalog URL を使用している場合、ハードウェア識別情報が外部に露出する可能性があります。

https://<servername>/AppCatalog?UID={DeviceUdid}

 

また、オンプレミス環境では、以下のクエリを実行して何らかの結果 (組織グループ ID、お客様名、デバイス数、など) が返されるかどうかで確認することができます。結果が返される場合、この問題の影響を受けます。

--Time Param
DECLARE @StartTime DATETIME
--Get the date the environment was upgraded to 7.3 
SELECT TOP 1 @StartTime = StartTime 
FROM UpgradeHistory 
WHERE MajorVersion = 7 
AND MinorVersion = 3 
ORDER BY StartTime
--Select Customers and Devices For All environments
Select LG.LocationGroupID,
LG.Name as CustomerName,
COUNT(D.DeviceID) as DeviceCount
FROM deviceProfile.DeviceProfileDevicePool DPDP (NOLOCK)
INNER JOIN deviceProfile.DeviceProfile DP (NOLOCK)
ON DPDP.DeviceProfileID = DP.DeviceProfileID
INNER JOIN dbo.Device D (NOLOCK)
ON DPDP.DeviceID = D.DeviceID
INNER JOIN dbo.Location L 
ON D.LocationID = L.LocationID
INNER JOIN dbo.LocationGroupFlat LGF (NOLOCK)
ON L.PrimaryLocationGroupID = LGF.ChildLocationGroupID
INNER JOIN dbo.LocationGroup LG (NOLOCK)
ON LGF.ParentLocationGroupID = LG.LocationGroupID
WHERE LG.LocationGroupTypeID = 2
AND DP.ModifiedOn < @StartTime
AND DP.Name = 'iOS App Catalog Settings'
AND DPDP.InstalledStatusID = 1
GROUP BY LG.Name,LG.LocationGroupID

 

修正バージョン

この問題の対象となるプロファイルを公開している場合は、プロファイルに新しいバージョンを追加して、次の形式の URL を使用するように変更してください。

https://<servername>/Catalog/ViewCatalog/{SecureDeviceUdid}/{DevicePlatform}

その後、URL に変更を加えた新しいバージョンのプロファイルを公開してください。これにより、セキュアな最新バージョンのカタログがデバイスに展開されます。

オンプレミス環境において、上記クエリの実行結果からこの問題の影響を受けることが判明した場合は、設定 > アプリ > Workspace ONE > AirWatch Catalog > 全般 と進み、設定画面を保存し直してください。これにより、セキュアな最新バージョンのカタログがデバイスに展開されます。 

:この問題の影響を受けないオンプレミス環境では、この手順を実行していただく必要はありません。

 

お問い合わせ

サポート リクエストを発行するには、貴社のサポート ラインに連絡するか、My Workspace ONE からサポート リクエストを提出してください。

 

敬具

VMware Workspace ONE チーム

Other Languages: English

免責事項:これは英文の記事「Information Exposure Through Legacy App Catalog URL」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

2 Comments

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2018-02-09 01:06 UTC

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2018-02-14 03:41 UTC

Article is closed for comments.