- 法人向けサーバー・クライアント用製品 カテゴリー一覧 > 不具合・トラブル > ESET Secure Authentication で報告されている 認証バイパス に関する不具合について
ESET Secure Authentication で報告されている 認証バイパス に関する不具合について
回答
ESET Secure Authentication で報告されている 認証バイパス に関する不具合についてご案内いたします。
詳細は以下の通りです。
ESET Secure Authentication をご利用中のお客さまは、ご利用の環境が 不具合の情報 に記載の環境であるかご確認いただき、該当する場合は お客さまに実施していただきたいこと に記載の内容を実施してください。
◆ 対象サービス
- ESET Secure Authentication
◆ 不具合の情報
RADIUS認証用のESET Secure Authentication コンポーネントに、認証機能のバイパスを可能にする不具合があります。
なお、問題が発生する可能性があるのは、RADIUS認証用の ESET Secure Authentication コンポーネントを利用しており、以下の組み合わせに該当する場合です。
- パスワード認証を行わない RADIUS クライアント(VPN など)を使用している。
- ESET Secure Authentication の Web コンソールより、RADIUS サーバーを設定する際に、「Client Type」にて以下のいずれかを選択している。
・[Client validates username and password]
・[Client validates username and password – use Access-Challenge]
※設定内容の詳細についてはこちら - ESET Secure Authentication の Web コンソールの[Components] → 各コンポーネントをクリック→[ALLOW NON-2FA]を有効に設定している。
【 参考 】
- [CA8823] Authentication bypass misconfiguration in the RADIUS component of ESET Secure Authentication
(リンクをクリックすると、ESET社のWebサイト(英語)が別ウインドウで開きます。)
◆ 想定される影響
本不具合が悪用された場合は、ESET Secure Authentication上にユーザーが作成され、二要素認証なしでのアクセスを許可している RADIUS クライアントへアクセスされる可能性があります。
◆ お客さまに実施していただきたいこと
2025年2月17日にESET社により実施された ESET Secure Authentication V4.12.1.0 へのバージョンアップにて、本不具合によるセキュリティリスクを回避できるよう修正されていますが、お客さまにて以下2点を実施いただくことを推奨しています。
1. RADIUSクライアントの認証設定を確認し、パスワード認証をしていない場合、パスワード認証するように設定する。
2. ESET Secure Authentication に作成されているユーザーを確認し、適切なアクセス権が設定されていないユーザーを削除する。
2. ESET Secure Authentication に作成されているユーザーを確認し、適切なアクセス権が設定されていないユーザーを削除する。
◆ サポートセンターへのお問い合わせ
お客さまにはご迷惑をお掛けしますことを、深くお詫び申し上げます。
[更新履歴]
2025年5月26日:公開
- プログラム
- ESET Secure Authentication
【 より良いサポート情報のご提供のため、アンケートにご協力ください! 】このQ&Aは役に立ちましたか?
関連Webサイト
|
|
 |
|
©Canon Marketing Japan Inc.