日頃より弊社サービスをご利用いただき誠にありがとうございます。
ハンモック社より、脆弱性問題が発表されております。
Ver.13.2.4O以降にて本脆弱性の対策を実施しておりますので、
大変お手数ですが、ご利用製品に適した対策の実施をお願いいたします。
■該当バージョン
AssetView Ver.13.2.4O(13.2.4.3408) 未満
AssetView CLOUD Ver.13.2.4O(13.2.4.3408) 未満
AssetView CLOUD Ver.13.3.4K(13.3.4.3004) 未満
■ 脆弱性の概要
・重要な機能に対する認証の欠如
CVSS v3.0:8.2
APサーバー/管理コンソールがDBサーバーへ接続する際の通信において、
認証を偽装してなり済ますことで、APサーバー/管理コンソール以外から
DBサーバー内の任意ファイルの取得や削除が行えるリスクがございます。
組織外のネットワークからリモート実施されるリスク内容に該当するとのことで、
AssetViewを公開していた場合早急に対策をお願いします。
・開発者への送信データからの機微な情報の取得
CVSS v3.0:5.9
管理コンソールからハンモック社サーバーへ送信している
機微な情報(ライセンスのアクティベーション状況やAssetViewサーバーバージョン)を
第三者が通信を解析することで取得されるリスクがございます。
■脆弱性がもたらす脅威
この脆弱性をついた攻撃が成功すると、悪意のある第三者によって、サーバー内のファイルの漏えいやファイルの削除が行われ、ハンモック社へ送信する機微な情報が取得される可能性があります。
■悪用事例
現状は確認されておりません。
■対策方法
Ver.13.2.4O以降にて本脆弱性対策を実施しております。
ご利用製品に適した対策の実施をお願いいたします。
【AssetView】
以下より最新モジュールをダウンロードしていただき、同梱されている「バージョンアップ手順」に従ってバージョンアップ作業をお願いいたします。https://assetview.hammock.jp/hc/ja/sections/360007406853
【AssetView CLOUD】
AssetView CLOUD では、HTTPS接続が有効化されており、本脆弱性をついた悪用の可能性は低いと考えております。
ただし、お客様によって一部セキュリティ設定が異なるため、該当のお客様にはハンモック社から順次バージョンアップのご案内をさせていただきます。