Cloud Software GroupからSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のCloud Software Groupから公表されている記事をご確認ください。
Spotfire TERR コードにおけるNTLM トークン漏洩の脆弱性について
対象製品:Spotfire
リリース日:2024年6月26日
CVE識別番号:CVE-2024-3331
CVSS v3 基本値:6.8 (Medium) (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N)
出典URL:https://community.spotfire.com/articles/spotfire/spotfire-security-advisory-june-262024-spotfire-cve-2024-3331-r3436/
影響を受ける製品
- Spotfire Enterprise Runtime for R (別名 TERR) 4.5.0、5.0.0、5.1.0、6.0.0、6.0.1、6.0.2、6.0.3、6.1.0、6.1.1、6.1.2
影響を受けるTERRバージョンを組み込んだ製品は下記の通りです。
- Spotfire Enterprise Runtime for R - Server Edition 1.12.7、もしくはそれ以前のバージョン
- Spotfire Enterprise Runtime for R - Server Edition 1.13.0、1.14.0、1.15.0、1.16.0、1.17.0、1.17.1、1.17.2、1.17.3
- Spotfire Enterprise Runtime for R - Server Edition 1.18.0、1.19.0、1.20.0
- Spotfire Statistics Services 12.0.7、もしくはそれ以前のバージョン
- Spotfire Statistics Services 12.1.0、12.2.0、12.3.0、12.3.1、14.0.0、14.0.1、14.0.2、14.0.3
- Spotfire Statistics Services 14.1.0、14.2.0、14.3.0
- Spotfire Analyst 12.0.9、もしくはそれ以前のバージョン
- Spotfire Analyst 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2
- Spotfire Analyst 14.1.0、14.2.0、14.3.0
- Spotfire Desktop 14.3.0、もしくはそれ以前のバージョン
- Spotfire Server 12.0.10、もしくはそれ以前のバージョン
- Spotfire Server 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2、14.0.3
- Spotfire Server 14.1.0、14.2.0、14.3.0
内容
TERR スクリプト環境では、信頼できないスクリプトはevalREX 関数呼び出しを使用して、権限が制限されたサンドボックス内で実行されます。ただし、特別に細工されたスクリプトがこの機能を利用して、プロセスを実行しているユーザーが攻撃者の制御下にあるサーバーに NTLM トークンを漏洩させる脆弱性が存在します。
影響
この脆弱性の影響は、影響を受けるソフトウェアを実行しているユーザーの権限によって異なります。
解決策
Cloud Software Groupより、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
Spotfire Enterprise Runtime for R (別名 TERR) 4.5.0、5.0.0、5.1.0、6.0.0、6.0.1、6.0.2、6.0.3、6.1.0、6.1.1、6.1.2 |
Spotfire Enterprise Runtime for R (別名 TERR) 6.1.3、もしくはそれ以降 |
Spotfire Enterprise Runtime for R - Server Edition 1.12.7、もしくはそれ以前 |
Spotfire Enterprise Runtime for R - Server Edition 1.12.8、もしくはそれ以降 |
Spotfire Enterprise Runtime for R - Server Edition 1.13.0、1.14.0、1.15.0、1.16.0、1.17.0、1.17.1、1.17.2、1.17.3 |
Spotfire Enterprise Runtime for R - Server Edition 1.17.4、もしくはそれ以降 |
Spotfire Enterprise Runtime for R - Server Edition 1.18.0、1.19.0、1.20.0 |
Spotfire Enterprise Runtime for R - Server Edition 1.21.0、もしくはそれ以降 |
Spotfire Statistics Services 12.0.7、もしくはそれ以前 |
Spotfire Statistics Services 12.0.8、もしくはそれ以降 |
Spotfire Statistics Services 12.1.0、12.2.0、12.3.0、12.3.1、14.0.0、14.0.1、14.0.2、14.0.3 |
Spotfire Statistics Services 14.0.4、もしくはそれ以降 |
Spotfire Statistics Services 14.1.0、14.2.0、14.3.0 |
Spotfire Statistics Services 14.4.0、もしくはそれ以降 |
Spotfire Analyst 12.0.9、もしくはそれ以前 |
Spotfire Analyst 12.0.10、もしくはそれ以降 |
Spotfire Analyst 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2 |
Spotfire Analyst 14.0.3、もしくはそれ以降 |
Spotfire Analyst 14.1.0、14.2.0、14.3.0 |
Spotfire Analyst 14.4.0、もしくはそれ以降 |
Spotfire Desktop 14.3.0、もしくはそれ以前 |
Spotfire Desktop 14.4.0、もしくはそれ以降 |
Spotfire Server 12.0.10、もしくはそれ以前 |
Spotfire Server 12.0.11、もしくはそれ以降 |
Spotfire Server 12.1.0、12.1.1、12.2.0、12.3.0、12.4.0、12.5.0、14.0.0、14.0.1、14.0.2、14.0.3 |
Spotfire Server 14.4.0、もしくはそれ以降 |
Spotfire Server 14.1.0、14.2.0、14.3.0 |
Spotfire Server 14.4.0、もしくはそれ以降 |