CA20160323-01 : CA Single Sign-On Web Agentのセキュリティに関するお知らせ

Document created by Masayasu_Sato Employee on Mar 24, 2016
Version 1Show Document
  • View in full screen mode

公開日:2016323
日本での公開日:2016324

CA20160323-01 : CA Single Sign-On Web Agentのセキュリティに関するお知らせ

 

CA Technologies CA Single Sign-On(以下SSO)製品(SiteMinder)にセキュリティに関する潜在的なリスクがあることをお知らせいたします。

BishopFox Michael Brooksは、脆弱性が存在することにより、リモートの攻撃者がDoS(Denial of Service)を引き起こしたり、重要な情報を取得することが可能であることをCA Technologiesに警告しました。CA Technologiesはこの問題に対して対応済みです。

 

脆弱性 CVE-2015-6853 は、CA SSO Domino Web Agentにおいてリクエストの不十分な確認により発生するものです。リモートの攻撃者はリクエストを作ることで、最終的にクラッシュや重要な情報の開示に至ります。CA Technologiesはこの脆弱性をリスク高とします。Domino web agentを利用するCA SSOのお客様だけがこの脆弱性の影響を受けます。

 

脆弱性 CVE-2015-6854 は、CA SSO Domino Web Agent以外の全てのCA SSO Web Agentにおいてリクエストの不十分な確認により発生するものです。リモートの攻撃者はリクエストを作ることで、最終的にクラッシュや重要な情報の開示に至ります。CA Technologiesはこの脆弱性をリスク高とします。 CA SSO Web Agent 12.51, 12.52はこの脆弱性の影響を受けません。Secure Proxy Server(SPS) Agent, SharePoint Agent, Application Server Agent, ERP Agent, Web Agent Option Pack, そして Custom Agentもこの脆弱性の影響を受けません。

 

リスクの程度

CVE 識別番号

リスクの程度

CVE-2015-6853

CVE-2015-6854

 

プラットフォーム

すべてのプラットフォーム

 

 

影響を受ける製品

CVE-2015-6853 の影響を受ける CA SSO Domino Web Agent のバージョンは次の通り:

CA Single Sign-On R6, R12, R12.0J, R12.5, R12.51, R12.52

 

CVE-2015-6854 の影響を受けるSSO Web Agentのバージョンは次の通り(CA SSO Domino Web Agentを除く):

CA Single Sign-On R6, R12, R12.0J, R12.5

 

注意: Secure Proxy Server (SPS) Agent SharePoint Agent Application Server AgentERP AgentWeb Agent Option PackCustom Agents はこの脆弱性の影響を受けません。

 

この脆弱性の影響を受けるかどうかの判断方法

対応済みWeb Agentのバージョンについては、次項「解決策」をご確認ください。お客様はバージョンを判断するためにWeb Agentのログをご確認ください。

 

解決策

R6Agentをご利用のお客様はR12.0 SP3 CR13, R12.0J SP3 CR1.2, R12.5 CR5, R12.51 CR4, or R12.52 SP1 CR3Web Agentにアップグレードしてください。

CVE-2015-6853

Web Agent バージョン

対応バージョン

R12.0 Domino web agent

R12.0 SP3 CR13

R12.0J Domino web agent

R12.0J SP3 CR1.2

R12.5 Domino web agent

R12.5 CR5

R12.51 Domino web agent

R12.51 CR4

R12.52 Domino web agent

R12.52 SP1 CR3

 

CVE-2015-6854

Web Agent バージョン

対応バージョン

R12.0 web agent(CA SSO Domino Web Agentを除く)

R12.0 SP3 CR13

R12.0J web agent(CA SSO Domino Web Agentを除く)

R12.0J SP3 CR1.2

R12.5 web agent(CA SSO Domino Web Agentを除く)

R12.5 CR5

R12.51 web agent(CA SSO Domino Web Agentを除く)

影響なし

R12.52 web agent(CA SSO Domino Web Agentを除く)

影響なし

注意:お客様はSSO R6Web Agentを対応済みのR12.52,R12.51 もしくはR12Web Agentにアップグレードしてください。

 

リファレンス

CVE-2015-6853 - Single Sign-On Domino web agent denial of service, information disclosure
CVE-2015-6854 - Single Sign-On web agent denial of service (non-Domino), information disclosure

 

謝辞

CVE-2015-6853, CVE-2015-6854 - Michael Brooks of BishopFox

 

変更履歴

バージョン 1.0:初回リリース

本セキュリティに関するお知らせ(英文)はProactive Notificationsの受信設定をしているお客様に通知します。

さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com)までご連絡ください。 弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。

(このドキュメントは米国サポートサイトに掲載されているCA20160323-01: Security Notice for CA Single Sign-On Web Agents」を翻訳したものです。)

Attachments

    Outcomes