セキュリティアラート 59336:シェルアクセス権を持つユーザーはスクリプトファイルを変更できる。
このドキュメントでは、AppDynamics 製品のセキュリティアラートについて説明します。
概要
AppDynamics スタンドアロン マシン エージェントで、スクリプトファイル「extend-os-version.sh」のファイル権限が 777 に設定されます。
これにより、サーバーへのシェルアクセス権を持つ任意のユーザーがスクリプトファイルを変更できます。スクリプトファイルは、スタートアップ時にマシンエージェントに割り当てられた権限レベルでマシンエージェントによって実行されます。その結果、任意のユーザーは、スタンドアロン マシン エージェントを実行しているサーバー上で昇格された管理者権限を取得できます。
影響を受けるソフトウェア
| 製品:、 | コンポーネント | Version | エクスプロイトの可能性 | 重大度 |
|---|---|---|---|---|
| マシンエージェント |
AppDynamics スタンドアロン マシン エージェント |
|
中(Medium) | 高(High) |
評価と脆弱性のキーまたは凡例
| エクスプロイトの可能性の評価 | 説明 |
|---|---|
| 脆弱性を解決するための既知の修正 | AppDynamics は既知のエクスプロイトを認識しています。既知のエクスプロイトを最も高い優先順位で処理する必要があります。 |
| 高(High) | AppDynamics は、脆弱性が攻撃者によって悪用される可能性が高いと考えています。 |
| 中(Medium) | AppDynamics は、脆弱性が攻撃者によって悪用される可能性が中程度であると考えています。 |
| 低 | AppDynamics は、脆弱性が攻撃者によって悪用される可能性は低いと考えています。 |
| シビラティ(重大度)評価 | 説明 |
|---|---|
| 高(High) | エクスプロイトにより、攻撃者は通知、監査、認証などの緩和策を講じることなく、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。 |
| 中(Medium) | エクスプロイトにより、攻撃者は、通知や認証メカニズムなどの合理的な緩和策を使用して、ユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害することができます。 |
| 低 |
エクスプロイトにより、攻撃者はユーザーデータの機密性、完全性、アカウンタビリティ、または可用性、あるいは処理リソースの完全性や可用性を侵害したりする可能性がありますが、通知や認証メカニズムなどの重要な緩和策が実施されているため、影響のシビラティ(重大度)は軽減されます。 |
FAQ
質問:この脆弱性から保護するにはどうすればよいのですか。
回答:スタンドアロン マシン エージェント(Java)をアップグレードしてください
質問:エージェントをアップグレードする必要はありますか。
回答:はい、スタンドアロン マシン エージェントをアップグレードしてください
脆弱性情報
この障害により、シェルアクセス権を持つ任意のユーザーがスクリプトファイルを変更し、変更内容をルート権限で実行できるようになります。
緩和要因と回避策
パッチを適用したバージョンにアップグレードします。
パッチが適用されたバージョン
免責事項
このセキュリティアドバイザリで提供される情報は、いかなる種類の保証もなく、「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
マニュアルの変更履歴
1.0 - 2016 年 1 月 26 日初版