ファームウェア

LoadMaster OS(LMOS)のセキュリティの脆弱性に対応したパッチリリースのお知らせ

日頃より Kemp Load Master をご利用いただき、誠にありがとうございます。

Progress KempはLoadMaster OS(LMOS)のセキュリティの脆弱性に対応したパッチを2024年3月22日にリリースしました。
以下の注意書きをご確認の上、LMOSのアップグレイドをお願いします。

 

<最新のLoadMasterリリースについての注意書き>
このリリースはセキュリティに関するアップデイトで、すべてのLoadMasterバージョンに適応します。
Progress Kempは、現時点でこのセキュリティの脆弱性に関する問題報告を受けていませんし、お客様に直接の影響があったことも確認していません。
しかし、LoadMasterをご利用中にお客様に対しては、運用環境を強化する上でできるだけ早くアップグレイドを実施されることを強く求めております。
このリリースは3月22日にダウンロードできるようになりました。また、製品のアップデイト情報などは、Kemp IDを登録していただいたお客様に案内を差し上げていますので登録をお願いします。

 

<脆弱性の改版に関する情報>
CVE-2024-2448の対応
A logged-in UI user with any permission settings may be able to inject commands into the UI using a shell command that will execute the command in the context of that page and only for that user. This vulnerability has been closed by enhancing the validation performed by the UI.
「任意の権限設定を持つログイン UI ユーザーは、そのページのコンテキストでそのユーザーに対してのみコマンドを実行するシェル コマンドを使用して、コマンドを UI に挿入できる場合があります。

この脆弱性は、UI によって実行される検証を強化することで解決されました。」

 

CVE-2024-2449の対応
It is possible for a malicious actor, who has prior knowledge of the IP or hostname of a specific LoadMaster, to direct a currently logged-in administrative user to another third-party site. In such a scenario, the admin user can send HTTP requests to the UI to execute actions on LoadMaster. This vulnerability has been closed by enhancing the validation performed when CSRF checks are performed.
「特定の LoadMaster の IP またはホスト名を事前に知っている悪意のある攻撃者は、現在ログインしている管理ユーザーを別のサードパーティ サイトに誘導する可能性があります。

このようなシナリオでは、管理者ユーザーは HTTP リクエストを UI に送信して、LoadMaster でアクションを実行できます。

この脆弱性は、CSRF チェックの実行時に実行される検証を強化することで解決されました。」

 

<パッチファイルのダウンロード>
最新のパッチファイルはは以下のサイトからダウンロードできます。
-7.2.59.3 GA(Genaral Availability)
     https://www.kemptechnologies.com/files/packages/7.2.59.3.22368-RELEASE/LoadMaster-Patch-64bit.zip
-7.2.54.9 LTSF(Long Term Support Feature)
     https://www.kemptechnologies.com/files/packages/7.2.54.9.22372-RELEASE/LoadMaster-Patch-64bit.zip
-7.2.48.11 LTS(Long Term Support)
     https://www.kemptechnologies.com/files/packages/7.2.48.11.22366-RELEASE/LoadMaster-Patch-64bit.zip

 

■制限事項
————————————————————————

特に無し

■注意事項
————————————————————————

– ファームウェアのアップデート中は電源オフやケーブル抜き差しをしないでください。

 

*ご不明な点等ございましたら下記よりお問い合わせください。
 FXC株式会社 Kemp問い合わせ窓口(kempsupport@fxc.jp)