CA20130725-01 : CA Service Desk Manager セキュリティに関するお知らせ

Document created by shunsuke_katakura Employee on Jul 30, 2015
Version 1Show Document
  • View in full screen mode

公開日:2013年7月25日
日本での公開日:2013年8月1日

CA20130725-01 : CA Service Desk Manager セキュリティに関するお知らせ

 

 

CA サポートは CA Service Desk Manager にセキュリティに関する潜在的なリスクがあることをお知らせいたします。この脆弱性が存在することにより、リモート攻撃者がクロスサイト スクリプティング攻撃を実施することができます。CA Technologies では、この脆弱性に対応したパッチを提供しています。
脆弱性(CVE-2013-2630)は、URL クエリ文字列パラメータの検証が不十分であることに起因します。攻撃者は疑いをもたないユーザを巧妙に構成された URL に誘導し、様々なクロスサイトスクリプティング攻撃を実行することができます。


リスクの程度


プラットフォーム

Windows、Sun、AIX、Linux


影響を受ける製品

CA Service Desk Manager 12.5
CA Service Desk Manager 12.6
CA Service Desk Manager 12.7


この脆弱性の影響を受けるかどうかの判断方法

以下の手順に従ってお使いの Service Desk Manager のバージョンをご確認いただき、関連するパッチが適用されているかご確認ください。

  1. Service Desk Server の $NX_ROOT ディレクトリに移動します。
    注 :

    NX_ROOT は、Service Desk Manager の導入ディレクトリであり、デフォルトでは、Windows の場合 "C:\Program Files\CA\Service Desk Manager"、または"C:\Program Files (x86)\CA\Service Desk Manager"、Solaris/AIX/Linux の場合は "/opt/CAisd/" です。

  2. 以下の手順に従って、Service Desk Manager のアプリケーション バージョンを確認します。
    1. Windows の場合は "$NX_ROOT\pdmconf\"、Solaris/AIX/Linux の場合は "$NX_ROOT/pdmconf/" に移動します。
    2. “version” という名前のファイルを探し、テキスト エディタで開きます。
    3. テキスト内に Service Desk のバージョンが記載されています。(例: Version r12.6)
  3. $NX_ROOT ディレクトリにある <machine_name>.his を検索します。

    注 : Service Desk Manager にパッチが適用されていない場合、このファイルは存在しません。

  4. テキスト エディタでファイルを開き、以下の一覧の、対応する Service Desk Manager バージョンと OS に記載されているパッチが適用されているかを確認します。

    R12.5:
    WINDOWS: RO59355
    LINUX: RO59356
    SUN: RO61158
    AIX: RO61159

    R12.6:
    WINDOWS: RO59358
    LINUX: RO59359
    SUN: RO59360
    AIX: RO59362

    R12.7:
    WINDOWS: RO59560
    LINUX: RO59365
    SUN: RO59366
    AIX: RO59367

    history ファイルの記述例:
    [DATE] - PTF Wizard installed RO59355 (USRD) RELEASE=12.7

  5. 対応するパッチが適用されていない場合、導入環境に脆弱性が存在する可能性があります。


解決策

この脆弱性に対応する以下のパッチを公開しています。

CA Service Desk Manager 12.5 Windows: RO59355
CA Service Desk Manager 12.5 Sun: RO61158
CA Service Desk Manager 12.5 AIX: RO61159
CA Service Desk Manager 12.5 Linux: RO59356
CA Service Desk Manager 12.6 Windows: RO59358
CA Service Desk Manager 12.6 Sun: RO59360
CA Service Desk Manager 12.6 AIX: RO59362
CA Service Desk Manager 12.6 Linux: RO59359
CA Service Desk Manager 12.7 Windows: RO59560
CA Service Desk Manager 12.7 Sun: RO59366
CA Service Desk Manager 12.7 AIX: RO59367
CA Service Desk Manager 12.7 Linux: RO59365

リファレンス

CVE-2013-2630


謝辞

CVE-2013-2630 - Puneeth Kumar R

 

変更履歴

バージョン 1.0:初回リリース

さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com)までご連絡ください。

弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。

Attachments

    Outcomes