脆弱性修正(SBOM管理機能)
概要
- はじめに
本文書は、SIDfm VMサーバのバージョン3.0.0, 3.1.0, 3.2.0において脆弱性が確認されたため、その内容と対処方法(パッチ適用)について公開するものです。
- 脆弱性の内容
確認された脆弱性は、「SIDfmVM管理者権限、SIDfmVM報告者のみに制限されているSBOM管理画面へのアクセスが、SIDfmVM利用者、SIDfmVM閲覧者の権限のユーザでも可能」というものになります。
影響範囲について、詳しくは以下をご参照ください。
- 本脆弱性により、カスタムカテゴリによるアクセス制限を超えたアクセスが可能となることはありません。ユーザにアクセス権限の無いカスタムカテゴリのホストのデータにアクセスしようとした場合、SBOM管理画面にはアクセスできず、ダッシュボードに強制遷移が行われます
- 本件の影響のあるバージョンは、SIDfmVMサーバ バージョン3.0.0, 3.1.0, 3.2.0 となります。バージョン3.0.0未満のバージョンでは発生致しません
- SIDfmVM利用者権限、SIDfmVM閲覧者権限のユーザを作成・運用していない場合は影響はありません
- SBOM機能をご利用頂いていない場合、問題の影響は軽減されます
- 対策方法
後述しておりますパッチをダウンロード頂き、適用することを推奨致します。
クラウドタイプにつきましてはパッチ適用済です。
また、今後のリリースバージョンでは修正されます。
もしご不明な点等ございましたら、お手数をお掛け致しますが技術サポートまでお問い合わせ下さいますよう宜しくお願い致します。
パッチダウンロード
各バージョンのパッチを以下よりダウンロード可能です。
現在利用されているバージョンは、SIDfmVMサーバにSIDfmVM管理者権限のユーザでログインし、左袖メニューの「ライセンス設定」を押下すると遷移する「ライセンス設定画面」から、「SIDfm VMバージョン」の項目で確認できます。
なお、パッチの対象バージョンは3.0.0, 3.1.0, 3.2.0のみです。これ以外のバージョンでは本ページの問題は発生しませんので、パッチを適用する必要はございません。
また、パッチ適合後もバージョンは変更されませんのでご注意下さいますよう宜しくお願い致します。
| 対象バージョン | パッチファイル | サイズ | sha256sum |
|---|---|---|---|
| 3.0.0 | sidfm_sboms_controller-3.0.0-fixed.rb.gz | 6.21 KB | sidfm_sboms_controller-3.0.0-fixed.rb.gz.sha256sum |
| 3.1.0 | sidfm_sboms_controller-3.1.0-fixed.rb.gz | 6.47 KB | sidfm_sboms_controller-3.1.0-fixed.rb.gz.sha256sum |
| 3.2.0 | sidfm_sboms_controller-3.2.0-fixed.rb.gz | 7.14 KB | sidfm_sboms_controller-3.2.0-fixed.rb.gz.sha256sum |
パッチ適用手順
- VMサーバのバージョンを確認します
現在利用されているバージョンは、SIDfmVMサーバにSIDfmVM管理者権限のユーザでログインし、左袖メニューの「ライセンス設定」を押下すると遷移する「ライセンス設定画面」から、「SIDfm VMバージョン」の項目で確認できます。
なお、パッチの対象バージョンは3.0.0, 3.1.0, 3.2.0のみです。これ以外のバージョンでは本ページの問題は発生しませんので、以降の操作を実施する必要はございません。 - 利用されているバージョンのパッチをダウンロードします
パッチダウンロードから、確認したバージョンに対応したパッチファイルをダウンロードします。
- ダウンロードしたパッチをSIDfm VMサーバをインストールしたホストに転送します
- SIDfm VMサーバをインストールしたホストにログインし、rootユーザになります
- パッチファイルをSIDfm VMサーバのdockerコンテナ内に転送します
パッチファイルと同じディレクトリに移動した上で実行下さい。
対象バージョン毎にパッチファイル名が異なりますので、ご利用頂いているバージョンの手順のみを選択し実施下さい。バージョン3.0.0
# docker cp sidfm_sboms_controller-3.0.0-fixed.rb.gz sidfmd:/tmp/バージョン3.1.0
# docker cp sidfm_sboms_controller-3.1.0-fixed.rb.gz sidfmd:/tmp/バージョン3.2.0
# docker cp sidfm_sboms_controller-3.2.0-fixed.rb.gz sidfmd:/tmp/ - SIDfm VMサーバのdockerコンテナ内部にアクセスします
# docker exec -it sidfmd /bin/bash - パッチを利用してファイルの差し替えを行います
対象バージョン毎にパッチファイル名が異なりますので、ご利用頂いているバージョンの手順のみを選択し実施下さい。
バージョン3.0.0
# cd /var/lib/redmine/plugins/sidfm/app/controllers# cp sidfm_sboms_controller.rb sidfm_sboms_controller.rb.orig# gzip -dc /tmp/sidfm_sboms_controller-3.0.0-fixed.rb.gz > sidfm_sboms_controller.rb# rm -f /tmp/sidfm_sboms_controller-3.0.0-fixed.rb.gzバージョン3.1.0
# cd /var/lib/redmine/plugins/sidfm/app/controllers# cp sidfm_sboms_controller.rb sidfm_sboms_controller.rb.orig# gzip -dc /tmp/sidfm_sboms_controller-3.1.0-fixed.rb.gz > sidfm_sboms_controller.rb# rm -f /tmp/sidfm_sboms_controller-3.1.0-fixed.rb.gzバージョン3.2.0
# cd /var/lib/redmine/plugins/sidfm/app/controllers# cp sidfm_sboms_controller.rb sidfm_sboms_controller.rb.orig# gzip -dc /tmp/sidfm_sboms_controller-3.2.0-fixed.rb.gz > sidfm_sboms_controller.rb# rm -f /tmp/sidfm_sboms_controller-3.2.0-fixed.rb.gz - 差し替えたファイルを反映します
# cd /var/lib/redmine# passenger-config restart-app /var/lib/redmine - SIDfm VMサーバのdockerコンテナから抜けます
# exit - dockerイメージに変更内容を保存します
# docker commit sidfmd sidfmd - 以上でパッチ適用は完了です。