Windows版 共有フォルダへのアクセスで操作していないユーザ名で認識される

Document created by Tomo_Fujita Employee on Mar 24, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000159

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

 

◆ 内容

ユーザの共有フォルダへのアクセス時に、CA ControlMinderの動作上別のユーザとして認識される可能性があります。

 

◆ 詳細内容

現象
ControlMinderのルールで保護されている共有フォルダに複数のマシンから別々のユーザでアクセスした際、
一方のユーザの処理において他方のユーザで行ったようなログが記録される現象が報告されました。
尚、本現象発生時にはアクセス制御も表示されている他方のユーザとして認識されるため、そのユーザのルールに基づきアクセスが制御されます。

 

原因
ControlMinderはスレッドごとにユーザの情報を保持するためのスレッド情報をキャッシュ(以下、スレッド情報キャッシュ)としてドライバ内に持っています。ルールのチェックをするためにカーネルドライバ内の監査処理の中でスレッド情報キャッシュからユーザ情報を利用します。

 

今回はスレッド情報キャッシュの更新処理において不具合が見つかりました。
この結果、正しいユーザ情報が更新されず、不正なエントリを参照してしまうことで、ユーザのリソースアクセス時の監査ログが
他のユーザとして記録される問題が発生しました。

 

なお、現象自身はスレッドごとのスレッド情報キャッシュへのアクセスと更新のタイミングに依存するため、具体的な操作としての発生条件はありません。

 

この問題は動作上カーネルドライバ内で複数の端末で別々のユーザからのアクセスを受けて監査処理を行うFILEクラスのアクセスに限定されます。

 

発生条件
Windows版のControlMinderの全バージョンで発生の可能性があります。OSのバージョンには依存しません。
共有フォルダにルールが設定され、複数のユーザがそのルールに該当するリソースにネットワーク経由
(ファイル共有および管理共有も含まれる)でアクセスした場合に問題が発生する可能性があります。
特定の操作や動作に依存して発生するわけではありません。

 

対応策
設定等での回避方法はありません。以下のパッチの適用をお願いします。
- RO68540 - 12.5 SP5 CR1
- RO68645 - 12.6 SP1
- RO68543 - 12.6 SP2
- RO68544 - 12.6 SP3
- RO68546 - 12.8 GA 

 

パッチについて、販売代理店から製品を購入されたお客様は、販売代理店までお問い合わせください。
また、直接弊社からご購入いただいているお客様は弊社サポートサイト(CA ControlMinder Solutions & Patches)からダウンロードしてください。

適用方法等についてはパッチに付属のReadmeをご参照ください。

 

Attachments

    Outcomes