公開日:2022/05/06 最終更新日:2022/05/06

JVNVU#94851904
Tychonにおける権限昇格の脆弱性

概要

Tychonには、権限昇格の脆弱性があります。

影響を受けるシステム

  • Tychon 1.7.857.82より前のバージョン

詳細情報

TychonはOpenSSLを配置するためのフォルダを環境変数OPENSSLDIRにより指定しますが、指定されたディレクトリは管理者権限をもたないWindowsユーザが制御可能です。TychonはOpenSSLを利用する特権サービスを起動するため、管理者権限をもたないWindowsユーザによって当該フォルダに細工したopenssl.cnfファイルを配置され、SYSTEM権限で任意のコードを実行してしまう脆弱性があります。

想定される影響

当該製品がインストールされているWindowsシステムにおいて、SYSTEM権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は本脆弱性を修正した、Tychon 1.7.857.82をリリースしています。

ベンダ情報

ベンダ リンク
TYCHON Tychon | Endpoint Management Syatem

参考情報

  1. Vulnerability Note VU#730007
    Tychon is vulnerable to privilege escalation due to OPENSSLDIR location

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia