Critical Vulnerabilities Patched in OpenText PVCS Version Manager
2024/03/21 SecurityOnline — Micro Focus が対処した2つの深刻な脆弱性は、広く使用されているバージョン管理システムである OpenText PVCS Version Manager に存在するものである。これらの脆弱性 CVE-2024-1147/CVE-2024-1148 (CVSS:9.8) の悪用に成功した攻撃者は、影響を受けるサーバとの間で認証を必要とせずに、機密ファイルのアップロード/ダウンロードの実行が可能になる。
脆弱性の詳細
この脆弱性は、PVCS Version Manager の特定のコンポーネントにおける、不十分なアクセス制御メカニズムに起因している。この脆弱性により、システムは以下の攻撃を受ける可能性がある:
- 不正なファイル・アップロード:攻撃者は、悪意のファイルをサーバにアップロードし、システムの侵害が可能となる。また、接続されている他のデバイスに対して、攻撃を仕掛ける可能性も持つ。
- 不正なファイル・ダウンロード:攻撃者は、機密のソースコードや機密データのダウンロードが可能となり、知的財産の盗難やデータ漏洩にいたる恐れがある。
パッチが利用可能:ただちにアップデートを!
Micro Focus は、これらの脆弱性に効果的に対処するパッチ (PVCS Version Manager 8.6.3.3) を、2023年9月の時点でリリースしている。したがって、PVCS Version Manager を使用している場合には可能な限り早急に、このパッチをインストールすることを強く推奨する。
プラスα のセキュリティ対策
また Micro Focus は、PVCS Version Manager の “Path Map Security” 機能を有効化し、保護レイヤーを追加するよう推奨している。この機能の詳細は、管理者ガイドの “Configuring Path Map Security Options” に記載されている。
この対応が重要な理由
PVCS Version Manager のようなバージョン管理システムは、組織のソフトウェア開発のキーとなっている。このようなシステムが侵害されると、以下のように広範囲に及ぶ、影響が生じる可能性がある:
- ソース・コードの漏洩:貴重な知的財産の損失
- データの盗難:機密情報の漏えい
- システムの混乱:開発ネットワーク内でマルウェアが拡散する可能性
さらなる対応
Micro Focus のアドバイザリが指摘するのは、特に重要なインフラ・コンポーネントに対する、タイムリーなソフトウェア更新の重要性である。OpenText PVCS Version Manager のユーザーは、パッチをただちに適用し、強固な保護のために追加のセキュリティ管理の導入を検討すべきである。
このブログでは、初登場の OpenText です。日本でも、さまざまな組織で利用されているはずなので、ご利用のチームは、ご注意ください。なお、冒頭に Micro Focus の名前が出ていますが、いまは OpenText 傘下とのことです。 Wikipedia で調べてみたら、「カナダのオンタリオ州に本社を置き 、同国で4番目の規模を誇る OpenText は、EIM (enterprise information management) ソフトウェアの開発/販売を行う企業である。OpenText ソフトウェア・アプリケーションは、大企業/政府機関/専門サービス会社のコンテンツと非構造化データを管理するものだ。OpenText は、大量のコンテンツの管理や、規制要件への準拠、モバイルおよびオンラインの エクスペリエンス管理などの情報管理要件に対処する」と記されていました。
IoT OT Security News 
You must be logged in to post a comment.