お客様各位
平素は、弊社たよれーるサービスをご利用頂き、誠にありがとうございます。
この度 Sky株式会社より
「特定フォルダにおけるアクセス権不備の脆弱性(CVE-2024-21805)
/常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)」の情報が公開
されています。
■SKYSEA保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2786.html
※ログインには、ユーザーIDとパスワードが必要です。
■概要
(1)特定フォルダにおけるアクセス制限不備の脆弱性(CVE-2024-21805)
SKYSEAのサービス起動時、その実行元プロセスに対して悪意のあるDLLをロード
されることで、任意のコードを実行される可能性があります。
CVSSv3スコア:3.0
(2)常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)
端末にログインしているユーザーが持っていない権限でプログラムを実行されて
しまう可能性があります。
CVSSv3スコア:7.8
■対象バージョン
(1) Ver16.100.06f~19.101.01a
(2) Ver11.200.07h~19.101.01a
■対象プログラム (1)(2)共通
マスターサーバー
管理機
端末機(Windows)
スタンドアロン端末機
※いずれもWindows OSが対象です。
■対策 (1)(2)共通
SKYSEAVer19.200にアップデート
・SKYSEA Client View 19.200.11e アップデートモジュール
https://sp.skyseaclientview.net/download/detail_1833.html
修正モジュールの適用
・SKYSEA Client View 修正モジュール(Ver.17.000.19l~19.101.01a)
https://sp.skyseaclientview.net/download/detail_1841.html
※ログインには、ユーザーIDとパスワードが必要です。
■脆弱性((CVE-2024-21805)(CVE-2024-24964)に関するFAQ
本件に関するFAQは以下をご参照ください。
https://sp.skyseaclientview.net/faq/detail_1030.html
※ログインには、ユーザーIDとパスワードが必要です。
Sky株式会社から、外部よりリモート実行される危険性はないとの情報がございますが、
上記 SKYSEA保守契約ユーザー用Webサイトに掲載のアップデートプログラムまたは、
修正モジュールの適用をご検いただけますようお願いいたします。
