重大度

普通

説明

Parallels Remote Application Server（RAS）ではビジネスロジックエラーによりリモートコード実行の脆弱性が指摘されています。これにより、認証ユーザーが Parallels Client とバックエンドサーバー間のリクエストを不正操作すれば、 Parallels RAS ファームにあるサーバーや同じ内部ドメインの他のサーバーに意図せずアクセスできてしまいます。また認証ユーザーが、Parallels RAS 環境のフィルタ機能で利用できないようになっているアプリケーションを起動して実行できる可能性もあります。

参考資料

CVE-2020-15860 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15860

解決策

CVE-2020-158606 の解決策はこちらの Remote Application Server v17.1.2.1-21873 をご覧ください。このセキュリティパッチではサーバーとクライアントの両方をアップグレードする必要があります。 

RAS ファームのアップグレードが完了すると、コンソールを開いたときに “最新のセキュリティパッチを適用したクライアントのみ許可します” というメッセージが表示されます。 

“はい”をクリックすると、このオプションが自動的に有効になります。つまり、最新の Parallels セキュリティパッチを適用していないクライアントは接続できません

このオプションは後で有効にすることもできます。これは次の手順で行います。

1. ファーム > 接続 > 許可されたデバイス

2. “最新のセキュリティパッチを適用したクライアントのみ許可します”オプションを有効にする

重要なお知らせ: “最新のセキュリティパッチを適用したクライアントのみ許可します”が有効になっている場合、最新のセキュリティパッチであるセキュリティパッチ バージョン1が表示されている Parallels Client のみ接続できます。これは Parallels Client > ヘルプ > バージョン情報 から確認できます。

アップグレード手順

Remote Application Server v17.1.2.1-21873 バージョンにアップグレードするには、以下の順序で行う必要があります。 

手順 1: Parallels Client をアップグレード:  Parallels Client の最新バージョンはこちらからダウンロードできます:  https://www.parallels.com/products/ras/download/client/

手順 2: Parallels テナントブローカー（TB）をアップグレード（マルチテナントの場合）: 通常の Remote Application Server（RAS）インストーラーを起動し、インストールウィザードに従ってアップグレードする必要があります。 

手順 3: ファームをアップグレード: Remote Application Server ファームをアップグレードするには、こちらの手順に従ってください:  https://kb.parallels.com/en/124573