关键漏洞信息 标题 製品利用ユーザによるDesign Studioライセンス認証における、Javaのデシリアライゼーションに よる、MCライセンスサーバへの任意コード実行 发生版本 - 改修ID - 修正版本 发生Ver: 改修ID: 修正Ver: 现象 DesignStudioの製品利用ユーザがパスワードを用いて、悪意のあるJavaコードを含む シリアルライズファイルを、Tomcatサーバーの製品フォルダに直接送信します。 該当のJavaを呼び出すことで任意コード実行が可能となり指摘をいただいております。 发生条件 再現には以下の条件が必要です。 DesignStudioの製品利用ユーザがパスワードを保持している DesignStudioからTomcatへのHTTP通信が可能である MCライセンスサーバー環境に接続している 对処方法 最優先の対策には、DesignStudioで認証するユーザは、パスワードを用いて、 サーバー上のファイルを直接操作する必要があるため、Tomcatの構成フォルダを デフォルトから変更することで、本脆弱性の対策することが可能です。 インストール済みの環境でパスワードを変更する場合は、原形インストールが必要です 新規導入ユーザのDesignStudio側のパスワードを使用されないよう、ID、パスワードの管理をお願いいたします。 前述の脆弱性が再現した際、ファイルをシリアル化して送信する段階でWindows Defenderによるブ ロックが発生しました。そのため、内部利用者に対する対策として、セキュリティソフトの点検も本脆弱性への有 効な対策となると考えます。 非TOMCAT環境(POC環境)で利用される場合で、外部公開されているサーバーで検証する等のご事情で対策が 必要な場合は、営業担当者しくは弊社テクニカルサポートまでご連絡ください。 注意事项 本指摘を受け、製品の取扱手順書にもTomcatのインストールパスをランダムにするようご案内しております。(製品インストール手順) 参考情报 製品インストール手顺 初公开日 2025/02/02 17:00 最终公开日 2025/04/09 3:34 更新履歴 URL名: 39553373809305