CA20160627-01 : CA Release Automationのセキュリティに関するお知らせ

Document created by Yasuyuki_Miura Employee on Jun 28, 2016Last modified by Yasuyuki_Miura Employee on Aug 18, 2016
Version 3Show Document
  • View in full screen mode

公開日:2016年627
日本での公開日:2016628

CA20160627-01 : CA Release Automationのセキュリティに関するお知らせ

 

CA Technologies は、CA Release Automationに複数の潜在的なリスクがあることをお知らせいたします。 3つの脆弱性が存在しており、リモートから攻撃者が不正に情報を入手したり、サービス停止を引き起こす可能性があります。 CA Technologies では、この脆弱性に対応したパッチを提供しています。

 

脆弱性 CVE-2015-7370は、サードパーティ製のコンポーネントであるOpen Flash Chartの脆弱性に関するものです。 リモートの攻撃者は、クロスサイト スクリプティング攻撃を行うことができます。

脆弱性 CVE-2015-8698は、Webサーバに対するリクエストの検証が不十分で、XML外部エンティティ攻撃を行うことができます。 ローカルネットワークに認証された攻撃者が、重要な情報を入手したり、サービス停止を引き起こす可能性があります。

脆弱性 CVE-2015-8699は、Webインタフェースに対するリクエストの検証が不十分で、反射型および格納型のクロスサイト スクリプティング攻撃を行うことができます。

 

リスクの程度

CVE 識別番号

リスクの程度

影響を受けるリリース

CVE-2015-7370

CA Release Automationの各バージョンのビルド番号、またはそれ以前: 5.0.2-193、5.5.1-1613、5.5.2-409、6.1.0-1004

CVE-2015-8698CA Release Automationの各バージョンのビルド番号、またはそれ以前: 5.0.2-193、5.5.1-1613、5.5.2-409、6.1.0-1004
CVE-2015-8699CA Release Automationの各バージョンのビルド番号、またはそれ以前: 5.0.2-193、5.5.1-1613、5.5.2-409、6.1.0-1004

 

プラットフォーム

すべてのプラットフォーム

 

影響を受ける製品

CA Release Automation 5.0.2-193またはそれ以前、5.5.1-1613またはそれ以前、5.5.2-409またはそれ以前、6.1.0-1004またはそれ以前

 

この脆弱性の影響を受けるかどうかの判断方法

Release Operations Centerで、[About CA Release Automation] ダイアログボックス(メニュー [Help] - [About])を開いて、[Version] を確認してください。

また、パッチの適用状況は、Fix_Maintenanceディレクトリで確認することもできます。

 

WindowsC:\Program Files\CA\ReleaseAutomationServer\Fix_Maintenance
Linux, Solaris/opt/ReleaseAutomationServer/Fix_Maintenance

※パスは、環境に依存します。適宜読み替えてください。

 

以下の対応バージョン以前の場合、この脆弱性の影響を受ける可能性があります。

製品

修正済みビルド

CA Release Automation 6.1.0

6.1.0-1026

CA Release Automation 5.5.1

5.5.1-1616

CA Release Automation 5.5.2

5.5.2-434

CA Release Automation 5.0.2

5.0.2-227

 

解決策

この脆弱性に対するパッチを提供しています。

CA Release Automation 6.1.0:

6.1.0-1026、またはそれ以降に更新

CA Release Automation 5.5.1:

5.5.1-1616、またはそれ以降に更新

CA Release Automation 5.5.2:

5.5.2-434、またはそれ以降に更新

CA Release Automation 5.0.2:

5.0.2-227、またはそれ以降に更新

 

リファレンス

CVE-2015-7370 - Open Flash Chart XSS

CVE-2015-8698 - Release Automation XXE

CVE-2015-8699 - Release Automation multiple XSS

 

謝辞

CVE-2015-7370, CVE-2015-8698, CVE-2015-8699 - Marcin Wołoszyn, ING

 

変更履歴

バージョン 1.0:初回リリース

本セキュリティに関するお知らせ(英文)はProactive Notificationsの受信設定をしているお客様に通知します。

さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com)までご連絡ください。 弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。

(このドキュメントは米国サポートサイトに掲載されているCA20160627-01: Security Notice for Release Automation」を翻訳したものです。)

Attachments

    Outcomes