LoadMaster OS（LMOS）のセキュリティの脆弱性に対応したパッチリリースのお知らせ

日頃より Kemp Load Master をご利用いただき、誠にありがとうございます。

 

Progress KempはLoadMaster OS（LMOS）のセキュリティの脆弱性に対応したパッチを2024年5月3日（金）にリリースしました。
以下の注意書きをご確認の上、LMOSのアップグレイドをお願いします。

 

＜最新のLoadMasterリリースについての注意書き＞
このリリースはセキュリティに関するアップデイトで、すべてのLoadMasterバージョンに適応します。
Progress Kempは、現時点でこのセキュリティの脆弱性に関する問題報告を受けていませんし、お客様に直接の影響があったことも確認していません。
しかし、LoadMasterをご利用中にお客様に対しては、運用環境を強化する上でできるだけ早くアップグレイドを実施されることを強く求めております。
このリリースは3月22日（金）にダウンロードできるようになりました。

また、製品のアップデイト情報などは、Kemp IDを登録していただいたお客様に案内を差し上げていますので登録をお願いします。

 

＜脆弱性の改版に関する情報＞
■CVE-2024-3544の修正

Unauthenticated attackers can perform actions, using SSH private keys, by knowing the IP address and having access to the same network of one of the machines in the HA or Cluster group.

認証されていない攻撃者は、IP アドレスを知り、HA またはクラスター グループ内のいずれかのマシンの同じネットワークにアクセスすることで、SSH 秘密キーを使用してアクションを実行できます。

 

■CVE-2024-3543の修正

Use of reversible password encryption algorithm allows attackers to decrypt passwords obtained with the attack described above in CVE-2024-3544. Sensitive information can be easily unencrypted by the attacker which could be used for arbitrary system command execution. This vulnerability has been closed by closing the CVE-2024-3544 vulnerability.

可逆パスワード暗号化アルゴリズムを使用すると、攻撃者は上記の CVE-2024-3544 の攻撃で取得したパスワードを復号化できます。

機密情報は攻撃者によって簡単に暗号化を解除され、任意のシステム コマンドの実行に使用される可能性があります。

この脆弱性は、CVE-2024-3544 脆弱性を解決することで解決されました。

 

＜パッチファイルのダウンロード＞
最新のパッチファイルはは以下のサイトからダウンロードできます。

https://support.kemptechnologies.com/hc/en-us/articles/25724791094285-LoadMaster-Security-Vulnerabilities-CVE-2024-3544-and-CVE-2024-3543

 

*ご不明な点等ございましたら下記よりお問い合わせください。
　FXC株式会社　Kemp問い合わせ窓口(kempsupport@fxc.jp)