SafeNet Trusted Access (STA) のオンプレミス版である SafeNet Authentication Service-Private Cloud Edition/Service Provider Edition (SAS-PCE/SPE) に対する脆弱性が確認されました。 Thales 社より、SAS-PCE/SPE のセッション管理の問題が特定されたとの通知がございました。
分析によると、認証されたユーザーが組織の別アカウントにアクセスできる可能性があります。
この問題はThales社の内部テスト活動中に特定されました。
この問題を悪用するためには、悪意のあるユーザーが既に認証され、アクティブなセッションにログインしており、
他組織のユーザー情報にアクセスできる必要があります。このリスクは高いと考えられ、対処が推奨されます。

この問題の影響を受ける製品は以下の通りです。
・SAS-PCE/SPE 3.19.0 またはそれ以前のバージョン

Thales 社よりこの問題が修正された SAS-PCE/SPE 3.19.1 がリリースされております。
当該バージョンのインストール資材の提供等については弊社サポートにお問い合わせください。

Thales社よりこの問題の暫定的な緩和策として以下のようなセルフサービスポータル (blackshieldss) へのアクセスの停止が案内されております。

#アプローチ1-匿名認証の無効化
Step1:IIS マネージャーから blackshieldss の [認証] を開きます。
Step2:匿名認証を無効化します。
これにより、全てのユーザーのセルフサービスポータルが無効になります。
#アプローチ2-物理パスの変更
IIS マネージャーの blackshieldss の [Web サイトの管理] > [詳細設定] にて物理パスを手動で作成した空のフォルダーに変更します。

※本内容は随時更新されることがございます。

状況に更なる進展が有りましたら、本ページ情報を更新いたします。