Cisco AppDynamics コントローラのパストラバーサルの脆弱性
| アドバイザリ ID: | cisco-sa-appd-traversal-m7N8mZpF |
CVE-2024-20345 CWE-26 | |
| 初版: |
2024 年 3 月 6 日 16:00 GMT | ||
| バージョン 1.0: | Final | ||
| 回避策: |
回避策はありません | ||
| CVSSスコア: | Base 6.5 |
概要
Cisco AppDynamics コントローラのファイルアップロード機能の脆弱性により、認証されたリモートの攻撃者が該当デバイスでディレクトリトラバーサル攻撃を実行できるようになる可能性があります。
この脆弱性の原因は、ユーザーが指定した入力の検証が不十分だったことです。細工された要求が該当デバイスに送信されると、この脆弱性がエクスプロイトされる危険性があります。エクスプロイトに成功すると、該当デバイス上の機密データに攻撃者がアクセスできるようになる可能性があります。
この脆弱性に対処するソフトウェア アップデートは、すでに Cisco からリリースされています。脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクで入手できます。https://docs.appdynamics.com/paa/appdynamics-security-advisories/cisco-appdynamics-controller-path-traversal-vulnerability
影響を受ける製品
脆弱性が存在する製品
この脆弱性は、クラウドベースのシスコ AppDynamics コントローラに影響を及ぼします。
公開時点では、この脆弱性は AppDynamics コントローラ(オンプレミス)にも影響を及ぼしています。
公開時点で脆弱性が確認されているシスコソフトウェアのリリースについては、このアドバイザリの「Fixed Software」セクションを参照してください。
脆弱性がないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
回避策
脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
AppDynamics では、クラウドベースの Software-as-a-Service(SaaS)環境におけるこの脆弱性に対処してきました。AppDynamics コントローラの SaaS バージョンを使用しているお客様の場合、ユーザーアクションは必要ありません。
AppDynamics コントローラオンプレミス
発行時点では、次の表に記載されているリリース情報は正確でした。
左側の列には AppDynamics ソフトウェアリリース、右側の列にはリリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含むリリースが示されています。
| Cisco AppDynamics コントローラのリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 23.4.0 より前 | 23.4.0 |
修正済みリリースは、AppDynamics ソフトウェアポータル(https://download.appdynamics.com)から入手できます。修正済みソフトウェアをダウンロードするには、お客様は AppDynamics アカウントを保有している必要があります。
シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
ソース
本脆弱性は、シスコ内部でのセキュリティ テストによって発見されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final |
2024 年 3 月 6 日 |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。