セキュリティアドバイザリ:AppDynamics PHP エージェントの特権昇格の脆弱性
| アドバイザリ ID: | cisco-sa-appd-php-authpriv-gEBwTvu5 |
CVE-2023-20274 | |
| 初版: |
2023 年 11 月 15 日 16:00 GMT | ||
| バージョン 1.0: | Final | ||
| 回避策: |
回避策はありません | ||
| CVSSスコア: | Base 6.3 |
概要
Cisco AppDynamics PHP エージェントのインストーラスクリプトにおける脆弱性により、認証されたローカルの攻撃者が、該当デバイスでの権限を昇格できる可能性があります。
この脆弱性は、PHP エージェントのインストールディレクトリで PHP エージェントのインストーラによって設定されている権限が不十分であることに起因します。攻撃者は、PHP と同じ権限で実行される PHP エージェントのインストールディレクトリ内のオブジェクトを変更することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、権限の低い攻撃者は該当デバイス上で権限を root に昇格する可能性があります。
この脆弱性に対処するソフトウェア アップデートは、すでに Cisco AppDynamics からリリースされています。脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクで入手できます。https://docs.appdynamics.com/paa/appdynamics-security-advisories/security-advisory-for-appdynamics-php-agent-privilege-escalation-vulnerability
影響を受ける製品
脆弱性が存在する製品
公開時点では、この脆弱性は Cisco AppDynamics PHP エージェントに影響を及ぼしていました。
公開時点で脆弱性が確認されているソフトウェアのリリースについては、このアドバイザリの「Fixed Software」セクションを参照してください。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
脆弱性がないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
回避策
脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
発行時点では、次の表に記載されているリリース情報は正確でした。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
左側の列には AppDynamics ソフトウェアリリース、右側の列にはリリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含むリリースが示されています。
| Cisco AppDynamics PHP エージェントのリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 23.4.0 以前 | 23.7.0 |
修正済みリリースは、AppDynamics ソフトウェアポータル(https://download.appdynamics.com)から入手できます。修正済みソフトウェアをダウンロードするには、お客様は AppDynamics アカウントを保有している必要があります。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例やその公表を確認していません。
ソース
本脆弱性は、シスコ内部でのセキュリティ テストによって発見されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final |
2023 年 11 月 15 日 |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。