概要
Himmelblau は Microsoft Azure Entra ID と Intune の 相互 運用 スイート です。バージョン 3.0.0 から 3.1.0 未満 で、himmelblau.conf に テナント ドメイン が 設定 されて いない 場合、認証 が テナント スコープ で 制限 されません。
この 状態 で は、Himmelblau が 実行 時 に プロバイダー を 動的 に 登録 し、任意 の Entra ID ドメイン から の 認証 を 受け入れて しまいます。初期 セットアップ や ローカル ブートストラップ を 想定 した 動作 ですが、リモート 認証 環境 で は 深刻 な リスク と なります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 10.0 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
| CWE | CWE-1188 (安全でないデフォルト初期化) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Himmelblau | himmelblau-idm | 3.0.0 〜 3.1.0 未満 |
修正 バージョン と 回避策
- 修正: Himmelblau 3.1.0 で テナント ドメイン の 設定 が 適切 に 強制 される よう 修正
- 暫定回避策: himmelblau.conf に テナント ドメイン を 明示的 に 設定 する こと で リスク を 軽減 可能
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。