【SKYSEA Client View】特定プロセスにおけるアクセス制限不備(CVE-2024-41139)、共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如(CVE-2024-41143)、パストラバーサル(CVE-2024-41726)

連絡
お知らせ管理番号:
0000004727
公開日:
2024年7月29日

お客様各位

平素は、弊社たよれーるサービスをご利用頂き、誠にありがとうございます。

この度 Sky株式会社より
・特定プロセスにおけるアクセス制限不備(CVE-2024-41139)
・共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如(CVE-2024-41143)
・パストラバーサル(CVE-2024-41726)
の情報が公開されています。


■SKYSEA保守契約ユーザー用Webサイト
 https://sp.skyseaclientview.net/topics/detail_2875.html
 ※ログインには、ユーザーIDとパスワードが必要です。


以下、Sky社からの情報を掲示いたします。
----------------------------------------

■概要 / CVE識別番号(CVE-ID)
(1)特定プロセスにおけるアクセス制限不備(CVE-2024-41139)
  SKYSEAの常駐プロセスを利用して任意のコードを管理者権限で実行できる脆弱性を確認しております。
(2)共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如(CVE-2024-41143)
  SKYSEAサービスを利用して任意のEXEを管理者権限で実行できる脆弱性を確認しております。
(3)パストラバーサル(CVE-2024-41726)
  SKYSEAの実行機能にパストラバーサルの脆弱性を確認しております。

(1)および(2)はコンピューター内にとどまる脆弱性、(3)は同一組織内にとどまる脆弱性であることから、
 組織外のネットワークから本脆弱性を用いて悪用できるものではございません。
 また、悪用報告等もございません。


■CVSS v3.0 スコア
 (1)7.8 (2)7.8 (3)7.5 


■脆弱性が発生するSKYSEAのバージョン、環境

(1)Ver.6.010.06~19.210.04e
(2)Ver.3.013.00~19.210.04e
(3)Ver.15.200.13i~19.210.04e

 上記対象バージョンにおける下記プログラムが対象となります。
 ・マスターサーバー(グローバルマスターサーバー、セカンダリサーバーを含む)
 ・管理機
 ・端末機
 ・データサーバー
 ・ログ解析サーバー
 ・稼働監視端末機
 ・監査対象サーバー
 ・スタンドアロン端末機
 ※いずれもWindows OSが対象です。


■対策

 本件の対応を含む Ver.19.300.09hアップデートモジュールの提供を開始しております。
 製品のアップデートによる対応をお願いいたします。
  SKYSEA Client View Ver.19.300.09h アップデートモジュール ダウンロードページ
  https://sp.skyseaclientview.net/download/detail_1886.html
 
 また、修正モジュールのご提供を開始しております。
 製品のアップデートが難しい場合には、こちらのご適用をご検討ください。
  修正モジュール ダウンロードページ
  https://sp.skyseaclientview.net/download/detail_1894.html
  ※ログインには、ユーザーIDとパスワードが必要です。

 ※修正モジュールは、2024年7月29日現在のサポートバージョン(17.000.19l~19.210.04e)を
      対象に提供しています。
  SKYSEA Client View のライフサイクルポリシーについて
  https://sp.skyseaclientview.net/topics/detail_1815.html
 ※Ver.19.300.09h 以降へアップデートいただくことで、機能追加や各種不具合改修なども
     行われておりますのでどちらかを迷われている場合には、可能な限り Ver.19.300.09h
     以降へのアップデートを推奨いたします。


■重要なお知らせ機能について

 重要なお知らせ機能を有効にされているユーザー様向けに、管理コンソール上で本脆弱性に
   関するお知らせを開始しております。重要なお知らせ機能に関する詳細は、
 下記リンクのFAQページをご参照ください。
 なお、重要なお知らせ機能での通知処理は、8月6日まで表示する予定です。


■FAQ(URL)
 
 本脆弱性に関する詳細や、対策パッチに関する内容について別ページにて纏めております。
 下記のページも合わせて参照いただけますようお願いいたします。

 脆弱性(CVE-2024-41139)(CVE-2024-41143)(CVE-2024-41726)に関する FAQ
 https://sp.skyseaclientview.net/faq/detail_1073.html
 ※ログインには、ユーザーIDとパスワードが必要です。

 □FAQ抜粋
 どういった影響が想定されるのですか?
  権限の低いアカウントを持つ攻撃者が、管理者権限で任意のコードやプロセスを実行させる
      ことや、同一組織内のSKYSEA端末機に任意の実行ファイルを起動させることができる
      可能性があります。
      ※組織外のネットワークからリモート実行はできません。

 脆弱性の悪用は確認されていますか?
  現時点で弊社に本脆弱性を悪用した事象のご連絡を頂いておりません。

----------------------------------------

Sky株式会社から、外部よりリモート実行される危険性はないとの情報がございますが、
上記 SKYSEA保守契約ユーザー用Webサイトに掲載のアップデートプログラムまたは、
修正モジュールの適用をご検いただけますようお願いいたします。
CVE識別番号(CVE-ID) (1)CVE-2024-41139
(2)CVE-2024-41143
(3)CVE-2024-41726
製品 SKYSEA Client View
対象バージョン (1)Ver.6.010.06~19.210.04e
(2)Ver.3.013.00~19.210.04e
(3)Ver.15.200.13i~19.210.04e
対象プログラム ・マスターサーバー
(グローバルマスターサーバー、セカンダリサーバーを含む)
・管理機
・端末機
・データサーバー
・ログ解析サーバー
・稼働監視端末機
・監査対象サーバー
・スタンドアロン端末機

※いずれもWindows OSが対象です。
CVSS v3.0 スコア (1)7.8
(2)7.8
(3)7.5