TIBCO社からSecurity Advisoryがリリースされました。
本記事は日本国内で該当製品をご利用中のお客様に向けてご案内することを目的としております。
詳細については出典URLに記載のTIBCO社から公表されている記事をご確認ください。
TIBCO Data Virtualizationにおける外部からの任意ファイルダウンロードの脆弱性について
対象製品:TIBCO Data Virtualization
リリース日:2022年1月12日
CVE識別番号:CVE-2021-35500
CVSS v3 基本値:6.3 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N)
出典URL:https://www.tibco.com/support/advisories/2022/01/tibco-security-advisory-january-12-2022-tibco-data-virtualization-2021-35500
影響を受ける製品
- TIBCO Data Virtualization 8.3.0、もしくはそれ以前のバージョン
- TIBCO Data Virtualization 8.4.0、8.5.0
次のコンポーネントが影響を受けます。
- Data Virtualization Server
内容
上記のコンポーネントには、ローカルアクセス権を持つ低権限の攻撃者が、影響を受けるシステム上のユーザーの権限の範囲外で任意のファイルをダウンロードすることができる、悪用が困難な脆弱性が含まれています。
影響
この脆弱性の実行に成功すると、影響を受けるシステム上のすべてのファイルに対して不正な読み取りアクセスが行われる可能性があります。
解決策
TIBCO 社より、この問題に対処するために新たなバージョンがリリースされています。
旧バージョン | 新バージョン |
---|---|
TIBCO Data Virtualization 8.3.0、もしくはそれ以前 | TIBCO Data Virtualization 8.3.1 もしくはそれ以降 |
TIBCO Data Virtualization 8.4.0 | TIBCO Data Virtualization 8.4.1 もしくはそれ以降 |
TIBCO Data Virtualization 8.5.0 | TIBCO Data Virtualization 8.5.1 もしくはそれ以降 |