本ブログは、Awareness and guidance related to potential Service Fabric Explorer (SFX) v1 web client riskの抄訳版です。最新の情報は原文を参照してください。
概要
マイクロソフトは最近、限られた状況下で、古いバージョンの Service Fabric Explorer (SFX) に影響するクロスサイト スクリプティング (XSS) の脆弱性 (CVE-2022-35829) を認識しました。 現在の既定の SFX Web クライアント (SFXv2) は、これを悪用する攻撃に対して脆弱ではありません。 しかし、お客様は既定の Web クライアント (SFXv2) から、古く脆弱な SFX Web クライアントバージョン (SFXv1) に手動で切り替えることができます。この脆弱性を悪用するには、攻撃者が Service Fabric クラスターでコードの展開と実行の特権を持っており、ターゲットが脆弱な Web クライアント (SFXv1) である必要があります。
現時点では、マイクロソフトはこの脆弱性の悪用を認識していません。 セキュリティを維持するため、Service Fabric を利用するすべてのお客様は最新の SFX バージョンに アップグレード し、脆弱で古い SFXv1 Web クライアント バージョンに手動で切り替えることは控えることをお勧めします。 SF の今後のリリースでは、SFXv1 および SFXv1 に切り替えるオプションを削除する予定です。
Orca Security 社がこの脆弱性を当社に通知し、お客様を保護するために協調的な脆弱性の公開 ( Coordinated Vulnerability Disclosure- CVD )の下で当社と協力してくれたことに感謝いたします。
参考資料
- CVE- 2022-35829 の詳細については、『セキュリティ更新プログラム ガイド』を参照してください。
- Azure Service Fabric Product Blog
- Azure Service Fabric クラスターの アップグレード および アップデートの手順は以下を参照ください。
Azure Service Fabric クラスターのアップグレードと更新 - 質問がある場合には、aka.ms/azsupt にて Azure ポータルからサポート ケースを起票してください。