【重要】特定プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-41139) / 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如の脆弱性(CVE-2024-41143) / パストラバーサルの脆弱性(CVE-2024-41726)

2024年7月29日
Sky株式会社

平素より弊社商品をご愛顧いただき、誠にありがとうございます。
このたび、弊社商品「SKYSEA Client View」において、下記3件の脆弱性が確認されました。

(1) 特定プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-41139)
SKYSEA Client Viewの常駐プロセスを利用して、任意のコードを管理者権限で実行できる脆弱性
(2) 共有メモリを介したデータ交換におけるリクエスト発信元の検証欠如の脆弱性(CVE-2024-41143)
SKYSEA Client Viewサービスを利用して、任意のEXEファイルを管理者権限で実行できる脆弱性
(3) パストラバーサルの脆弱性(CVE-2024-41726)
SKYSEA Client Viewの実行機能にパストラバーサルの脆弱性

(1)および(2)はコンピューター内にとどまる脆弱性、(3)は同一組織内にとどまる脆弱性であることから、組織外のネットワークから本脆弱性を用いて悪用できるものではございません。また、悪用報告等もございません。

本脆弱性への対策として、保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_2875.html)にて、本件への対策を含むアップデートモジュール(Ver.19.300.09h)ならびに、修正モジュールの提供を行っております。お手数をおかけいたしますが、下記対象バージョンについて、Ver.19.300.09h以降へのアップデートを実施いただくか、修正モジュールを適用いただきますようお願いいたします。

影響を受けるプログラムの詳細は、以下のとおりです。

CVE
識別番号
(CVE-ID)
(1)CVE-2024-41139 / (2)CVE-2024-41143 / (3)CVE-2024-41726
製品 SKYSEA Client View
対象
バージョン
(1)Ver.6.010.06~19.210.04e / (2)Ver.3.013.00~19.210.04e / (3)Ver.15.200.13i~19.210.04e
対象
プログラム
  • マスターサーバー(グローバルマスターサーバー、セカンダリマスターサーバーを含む)
  • 管理機
  • 端末機
  • データサーバー
  • ログ解析サーバー
  • 稼働監視端末機
  • 監査対象サーバー
  • スタンドアロン端末機
※いずれもWindows OSが対象です。
CVSS
3.0スコア
(1)7.8 / (2)7.8 / (3)7.5

アップデートモジュール、修正モジュールについては、以下の保守契約ユーザー用Webサイトより提供しております。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2875.html
※ログインには、ユーザーIDとパスワードが必要です。

また、本件に関するFAQについては、以下のWebサイトをご覧ください。

脆弱性(CVE-2024-41139)(CVE-2024-41143)(CVE-2024-41726)に関するFAQ
https://sp.skyseaclientview.net/faq/detail_1073.html
※ログインには、ユーザーIDとパスワードが必要です。

SKYSEA Client View M1 Cloud Editionをご利用のお客様へ

2024年7月17日より、本脆弱性への対策を行った製品アップデート(Ver.19.300.09i)の配信を行っております。端末機のアップデートは順次、自動的に実施されます。

保守契約ユーザー用Webサイト
https://sp.skyseaclientview.net/topics/detail_2876.html
※ログインには、ユーザーIDとパスワードが必要です。

※本脆弱性に関しては、脆弱性情報ハンドリングポリシーに従い、以下の対応を弊社にて実施しております。

ご利用の皆さまには大変ご迷惑をおかけいたしますが、何とぞよろしくお願いいたします。

News & Topics 一覧へ
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら