1. ホーム
  2. MaLion シリーズの脆弱性につきまして

MaLion シリーズの脆弱性につきまして

公開日:2017年8月1日

平素は格別のご高配を賜り、厚く御礼申し上げます。
このたび、「MaLion シリーズ」の端末エージェント、中継サービスがインストールされたPCおよびサーバー機に関して脆弱性が確認されました。

当該環境でご利用中のお客様につきましては、MaLionクラブ(保守ユーザー様専用サイト)内にて最新版へのアップデート(Ver.5.2.2)をお願いいたします。お客様にはお手数をお掛けし誠に申し訳ございませんが、ご理解賜りますよう、よろしくお願いいたします。

1.概要

MaLion Ver.5.2.1以前のバージョンにおいて複数の脆弱性が存在することが判明しました。これら脆弱性を悪用された場合、以下のような危険性が考えられます。

  1. MaLion端末エージェントが導入された端末で、ログイン中のユーザー権限において任意の操作やコマンドが実行される危険性。
  2. MaLionサーバー上に保存された操作ログなどの情報の搾取や設定変更、およびMaLionシステムが正常動作しなくなる危険性。
  3. MaLion端末エージェントが導入されたMac端末を攻撃者が用意した中継サービスに所属させられ、操作ログなどの情報搾取や管理者権限での任意のコマンドが実行される危険性。

2.脆弱性の説明

  1. 端末エージェントに認証不備の脆弱性 (CWE-863) - CVE-2017-10815

    WindowsおよびMac端末にグローバルIPアドレスが割り当てられた環境で、外部のネットワーク攻撃者がリモートにてアクセスし、現在ログイン中のユーザー権限で任意の操作を実行する危険性があります。
  2. 中継サービスサーバに SQL インジェクションの脆弱性 (CWE-89) - CVE-2017-10816

    次の全ての条件に一致する場合、外部のネットワーク攻撃者がMaLionデータベース内の情報を取得、または改ざんする可能性があります。
    中継サービスがインストールされたサーバーにグローバル IP アドレスが割り当てられている。
    中継サービスに対し、任意のIPアドレスからのアクセスを許可している。
  3. 中継サービスサーバに認証不備の脆弱性 (CWE-862) - CVE-2017-10817

    次の全ての条件に一致する場合、外部のネットワーク攻撃者がMaLionデータベース内の情報を改ざんする可能性があります。
    中継サービスがインストールされたサーバーにグローバル IP アドレスが割り当てられている。
    中継サービスに対し、任意のIPアドレスからのアクセスを許可している。
  4. 通信の暗号化に使われる鍵がハードコードされている問題 (CWE-321) - CVE-2017-10818

    次の条件に一致する場合、中間者攻撃により操作ログの盗聴や任意のプログラムを実行される可能性があります。
    端末エージェントがインストールされたWindowsおよびMac PCの2102ポートに任意のIPアドレスからのアクセスを許可している。
  5. 端末エージェントにサーバ証明書検証不備の脆弱性 (CWE-295) - CVE-2017-10819

    次の条件に一致する場合、中間者攻撃による操作ログの盗聴や任意のプログラムを実行される可能性があります。
    DNSを偽装されるなどして、端末エージェントがインストールされたMac PCを意図しないサーバーへ接続させられた場合。

<公開について>

上記のd、eの脆弱性は事前に暫定対策を公開せずに今回初めて公開いたしました。これは対策方法の確立に時間を要したため、公開することのリスクを懸念し、またJPCERT/CCのガイドラインに沿って検討した結果でございます。何卒ご理解いただけますようお願いいたします。

3.該当するバージョンおよびモジュール

a、b、c、d、eは脆弱性の種類を表します。

  a b c d e
Ver.5.0.0~5.2.1 端末エージェント 中継サービス※1 中継サービス※1 端末エージェント 端末エージェント
Macのみ
Ver.4.3.0~ 端末エージェント 端末エージェント 端末エージェント
Macのみ
Ver.4.0.1~ 端末エージェント 端末エージェント
Ver.3.2.1~ 端末エージェント
Windowsのみ
端末エージェント
Ver.1.0.0~ 端末エージェント
Windowsのみ

※1 Ver.5.2.1の中継サービスをWindowsサーバーに構築し、かつSSL接続でお使いの場合、本脆弱性の対象ではありません。また、「MaLionCloud」をご利用のお客様は本脆弱性の対象ではありません。

4.対策方法

最新版(Ver.5.2.2)へのアップデートをお願いいたします。プログラムのダウンロードやアップデートの手順につきましては、「MaLionクラブ」内でご案内しております。

旧バージョンをご利用のお客様につきましては、MaLionクラブ内で旧バージョンでの暫定対策方法をご紹介しております。ご対応のほどお願いいたします。なお恒久対策として最新版へのアップデートをお勧めいたしますので、併せてご検討をお願いいたします。

5.本件に関するお問い合わせ

「MaLionクラブ」内でご案内しておりますサポートフォームおよびサポートダイヤルよりお願いいたします。

MaLion クラブにログインできないお客様(年間保守サービス終了)は、弊社営業部までお問い合わせください。

以上

▲