ビュー:

脆弱性の影響を受ける製品/コンポーネント/ツール

該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2022-23119
Deep Security Agent Linux 版10.0, 11.0, 12.0, 20.07.0 高
CVE-2022-23120
Deep Security Agent Linux 版10.0, 11.0, 12.0, 20.07.0 高
※Deep Security Virtual Appliance の Agent 部分、およびUnixベースの Deep Security Agent はすべて影響を受けます。
※Cloud One Workload Security の Linux/UnixベースのAgentも影響を受けます。
 

脆弱性の影響を受けない製品/コンポーネント/ツール

製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
Deep Security Agent Windows 版10.0, 11.0, 12.0, 20.0--
 

脆弱性の概要

弊社製品において、おいて次の脆弱性の存在が確認されました。

CVE-2022-23119: ディレクトリトラバーサル
(CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
Linux版の Deep Security Agent (以下、DSA) において、攻撃者がディレクトリトラバーサルの脆弱性を悪用することにより、任意のファイルを読み取ることが可能です。
この脆弱性を利用するためには、次のいずれかの条件を満たす必要があります。

・Deep Security Managerが侵害されていること
・未アクティベート状態のDSAに対してアクセスできること

CVE-2022-23120: コードインジェクションによる権限昇格
(CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)
Linux版のDSAにおいて、攻撃者がコードインジェクションによる権限昇格を悪用することにより、任意のコードをrootとして実行することが可能です。
この脆弱性を利用するためには、次の条件を満たす必要があります。

・未アクティベート状態のDSAに対してアクセスできること

なお、弊社ではこれらの脆弱性に関する実証コード(PoC)の存在を認識しております。
 

対処方法

製品/コンポーネント/ツールバージョン修正Readme
Deep Security Agent20.020.0.0-3445 (20 LTS Update 2021-11-24) (ダウンロードページ )リリースノート
Deep Security Agent12.012.0.0-2072 (Update 22) (ダウンロードページ )リリースノート
Deep Security Agent11.011.0.0-2256 (Update 28) (ダウンロードページ )リリースノート
Deep Security Agent10.010.0.0-4015 (Update 32) (ダウンロードページ )リリースノート

各バージョンにおいて対応ビルドへ更新する方法は、製品Q&Aやヘルプセンターを参照してください。

製品Q&A
ヘルプセンター
Deep Security 12.0未満のバージョンについては、「Deep Security 12.0以下」に記載されているリンクにアクセス後、ページ内で対象バージョンに切り替えて表示してください。
 

軽減要素

本脆弱性を悪用するには、一般には攻撃対象への物理的・リモートアクセスが必要となります。 信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
 

参照情報

CVE-2022-23119
CVE-2022-23120
 

更新情報

2022/01/25 PoCの存在について追記
2022/01/19 公開