RADIUS に関連する CVE-2024-3596 が発表された。
Privileged Access Manager ( 以下、 PAM) への影響はあるか?
Privileged Access Manager: サポートされる全バージョンで RADIUS と連携している環境
PAM の中でRADIUS クライアントコンポーネントは 本脆弱性の影響を受けます。
Privilged Identity Manager ( 以下、PIM)、または Privileged Access Manager Server Control ( 以下、PAMSC) では本脆弱性の影響はありません。
ホットフィックス 4.1.5.50 、 4.1.6.50 、 4.1.7.50 がリリースされているので適用してください。
詳細については 各リンク先のリリースノートをご参照ください。
4.1.4 以前のバージョンの場合は 最初に 4.1.5 以降にアップグレードする必要があります。
予防保守観点からは最新版、 4.1.7 へのアップグレードに ホットフィックスを適用することを推奨とさせていただきます。
なお、このホットフィックスは 7 月 15 日 に発表された IMS Security Advisory に含まれる 全ての脆弱性に対応しています。
このパッチが適用された PAM サーバーは、設定された RADIUS サーバーへのすべてのリクエストで常に Message-Authenticator 属性を送信します。
PAM UI の RADIUS 構成画面に新しい構成オプション「応答に Message-Authenticator が必要」が追加されました。このオプションをオンにすると、RADIUS サーバーからのすべての応答に Message-Authenticator が最初の属性として含まれるようになります。
まだパッチが適用されていない RADIUS サーバーとの互換性を保つために、このオプションはオフのままにすることができます。
このホットフィックスは Broadcom サポートサイトの PAM Solutions & Patches ページからダウンロード可能です。
本フィックスを適用する場合以下のKBも併せてご参照いただき、ホットフィックス .51 も同時に適用してください。
Cannot Perform SAML Authentication in PAM After Applying the .50 Hotfix
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 371682: CVE-2024-3596 Impact on Privilege Access Manager