30秒で判断
対応すべき人
- FreeIPA(Red Hat Identity Management)を運用している
- LinuxシステムでKerberosベースの認証基盤を管理している
対応不要な人
- FreeIPAを使用していない
- Windows Server Active Directoryのみを使用している
- すでにRHSA-2025:9184等のパッチを適用済み
確認コマンド
# FreeIPAバージョン確認
ipa --version
# インストール済みパッケージ確認(Red Hat系)
rpm -qa | grep ipa-server
# 適用済みエラータ確認
rpm -qa --changelog ipa-server | grep -E "CVE-2025-4404|9184"
概要
FreeIPAはLinux環境でのIDおよびアクセス管理(Identity Management)ソリューションです。この脆弱性は、FreeIPAが管理者アカウントのkrbCanonicalName属性の一意性をデフォルトで検証しないことに起因します。
認証済みの一般ユーザーが、REALMの管理者(admin@REALM)と同じ正規名(Canonical Name)を持つサービスを作成できてしまいます。攻撃が成功すると、そのユーザーは管理者の資格情報を含むKerberosチケットを取得し、ドメイン全体への管理操作(機密データへのアクセスや設定変更等)が可能になります。
CVSSベクトル
| 指標 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | Low | 一般ユーザー権限が必要 |
| User Interaction | None | ユーザー操作不要 |
| Confidentiality | High | 機密性への影響:高 |
| Integrity | High | 完全性への影響:高 |
| Availability | High | 可用性への影響:高 |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| FreeIPA | パッチ適用前のバージョン |
| Red Hat Identity Management (IdM) | パッチ適用前のバージョン |
修正バージョンと回避策
パッチ適用
以下のRed Hat Security Advisoryを確認してください:
- RHSA-2025:9184 / RHSA-2025:9185 / RHSA-2025:9186 / RHSA-2025:9187 / RHSA-2025:9188
回避策
FreeIPAのアクセス制御ポリシーを確認し、信頼されていないユーザーによるサービスプリンシパルの作成を制限することで攻撃面を縮小できます。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。