アーティクル - CS403495
PingIdentity セキュリティ アドバイザリー SECADV037: サービス拒否、情報漏洩、認証バイパスの脆弱性
修正日: 31-Oct-2023
適用対象
- FlexPLM
- ThingWorx Platform 8.4 and higher versions
- ThingWorx Navigate 1.7.0 and higher versions
- Windchill ProjectLink 11.0 and higher versions
- Windchill PDMLink 11.0 and higher versions
- Windchill MPMLink 11.0 and higher versions
- FlexPLM 11.0 and higher versions
- Windchill Modeler (formerly Integrity Modeler) 9.4 and higher versions
- PTC Arbortext Content Delivery (formerly Servigistics InService) 7.1.4.0 and higher versions
- Vuforia Experience Service 8.5.5 and higher versions
- Windchill RV&S (formerly Integrity Lifecycle Manager) 12.1 and higher versions
説明
- PingFederate に関連して、PingIdentity によって開始されたセキュリティ情報があることに注意してください。これは、顧客情報に関する PingIdentity から報告されたセキュリティ問題です。
- Ping Identity は、PingFederate に次の 3 つの脆弱性を確認しました。
- CVE-2023-37283: HTML フォームと識別子の最初のアダプターによる認証バイパス
- 非常に特殊で強く推奨されない構成では、PingFederate Identifier First Adaptor で認証バイパスが可能です。
- CVE-2023-39219: Java クラス列挙による管理コンソールのサービス拒否
- PingFederate Admin Console の依存関係に脆弱性が存在し、Java クラス列挙リクエストを大量に送信することで Admin Console をクラッシュさせる可能性があります。
- CVE-2023-34085: DynamoDB データストアを介したユーザー属性の開示
- DynamoDB テーブルがユーザー属性ストレージに使用されている場合、悪意を持って作成されたリクエストを介して別のユーザーの属性を取得することが可能です
- CVE-2023-37283: HTML フォームと識別子の最初のアダプターによる認証バイパス
- 詳細については、このPing ID セキュリティ アドバイザリ記事を参照してください。
- 注:セキュリティ アドバイザリの記事を表示し、関連するパッチをダウンロードするには、PingIdentity ログインが必要です。ログインがまだ存在しない場合は、顧客はログインを作成する必要があります
最新バージョンはこちらを参照ください CS403495