このウェブページのスクリーンショットから、以下の脆弱性に関する主要な情報を取得できます。 1. 脆弱性の説明: - 脆弱性タイプ:未承認コンテンツインジェクション(Unauthenticated Content Injection)。 - 影響を受けるコンポーネント:ActiveMQ Discovery Serviceを介したOpenEdge ManagementのWebインターフェース。 - 影響を受けるバージョン:OpenEdge LTSのバージョン11.7.19および12.2.14、およびそれ以前のバージョン。バージョン12.8.3またはそれ以前のすべてのアップデートも含みます。 2. 脆弱性の影響: - 潜在的な影響:悪意ある攻撃者は、ActiveMQ Discovery Serviceを介して悪意のあるUDPマルチキャストメッセージを送信し、OpenEdge/OEMクライアントがそれを受信してOpenEdge Webインターフェースにインジェクトすることができます。これにより、HTML、CSSなどのコンテンツがインジェクトされ、ユーザーに表示されたり実行されたりする可能性があります。 - 緩和策:修正バージョンでは、ActiveMQ Discovery Serviceの「auto-discovery」機能がデフォルトで無効になり、「allowDiscover」オプションが「false」に設定されます。 3. 修正バージョン: - 影響を受けるバージョン:OpenEdge LTSのバージョン11.7.19および12.2.14、およびそれ以前のバージョン。 - 修正バージョン:OpenEdge LTSアップデートの11.7.20以降、12.2.15以降、12.8.3以降。 4. 一時的な緩和策: - 直ちにアップデートできない場合は、「management.properties」構成ファイルの「allowDiscover」オプションを手動で「false」に設定し、ActiveMQ Discovery Serviceを無効にすることができます。 5. 影響を受けるユーザー: - 影響を受けるバージョンのOpenEdge/OEMを使用しているすべてのユーザー。具体的には、OpenEdge LTSのバージョン11.7.19および12.2.14、およびそれ以前のバージョンを使用しているユーザー。 6. ビジネスへの影響: - 未承認のコンテンツインジェクションにより、ネットワークフラッディング、スヌーピング(傍受)、改ざんなどのリスクが発生する可能性があります。 - HTML/CSSインジェクション攻撃により、ユーザーに表示されたり実行されたりする可能性があります。 7. アップグレード方法: - クライアントは、OpenEdge LTSアップデートの11.7.20、12.2.16、12.8.3をダウンロードして修正バージョンにアップグレードできます。 8. 免責事項: - 情報は内部または外部のソースから提供されており、その正確性や完全性を保証するものではありません。 - ユーザーは、潜在的なリスクを自己評価し、管理する必要があります。 これらの情報は、ユーザーが脆弱性の深刻さ、影響範囲、およびその緩和または修正のための対策を講じる方法を理解するのに役立ちます。