セキュリティアラート 49474:コントローラのサードパーティコンポーネントにおけるセキュリティの脆弱性
このドキュメントでは、AppDynamics 製品のセキュリティアラートについて説明します。
概要
AppDynamics は、コントローラで使用されるサードパーティ コンポーネントにおけるセキュリティ脆弱性に対するパッチを発表しています。この脆弱性により、リモートの攻撃者が、要求に関連付けられ XML ドキュメントに挿入されたタグと外部エンティティ参照に関連するベクトルを介して、機密情報を取得する可能性があります。
影響を受けるソフトウェア
| 製品:、 | コンポーネント | Version | エクスプロイトの可能性 | 重大度 |
|---|---|---|---|---|
| すべての AppDynamics 製品 | AppDynamics Controller |
3.9.8.7 より前の 3.9 バージョン 4.0.8.2 より前の 4.0 バージョン 4.1.2.2 より前の 4.1 バージョン |
低 | 高(High) |
評価と脆弱性のキーまたは凡例
| エクスプロイトの可能性の評価 | 説明 |
|---|---|
| 脆弱性を解決するための既知の修正 | AppDynamics は既知のエクスプロイトを認識しています。既知のエクスプロイトを最も高い優先順位で処理する必要があります。 |
| 高(High) | AppDynamics は、脆弱性が攻撃者によって悪用される可能性が高いと考えています。 |
| 中(Medium) | AppDynamics は、脆弱性が攻撃者によって悪用される可能性が中程度であると考えています。 |
| 低 | AppDynamics は、脆弱性が攻撃者によって悪用される可能性は低いと考えています。 |
| シビラティ(重大度)評価 | 説明 |
|---|---|
| 高(High) | エクスプロイトにより、攻撃者は通知、監査、認証などの緩和策を講じることなく、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。 |
| 中(Medium) | エクスプロイトにより、攻撃者は、通知や認証メカニズムなどの合理的な緩和策を使用して、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。 |
| 低 |
エクスプロイトにより、攻撃者はユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害したりする可能性がありますが、通知や認証メカニズムなどの重要な緩和策が実施されているため、影響のシビラティ(重大度)は軽減されます。 |
FAQ
質問:この脆弱性から保護するにはどうすればよいのですか。
回答:コントローラを以下に示すパッチバージョンにアップグレードします。
質問:エージェントをアップグレードする必要はありますか。
回答:いいえ、その必要はありません。
脆弱性情報
CVE-2015-3269
(https://nvd.nist.gov/vuln/detail/CVE-2015-3269)
Apache Flex BlazeDS の安全でない XML エンティティの拡張。
緩和要因と回避策
パッチを適用したバージョンにアップグレードします。
パッチが適用されたバージョン
謝辞
Code White の Matthias Kaiser。
免責事項
このセキュリティアドバイザリで提供される情報は、いかなる種類の保証もなく、「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
マニュアルの変更履歴
1.0 - 2015 年 8 月 21 日初回改訂。
1.1 - 2015 年 8 月 24 日 CVE 更新