第三者機関 Seralys によるセキュリティレビューにおいて、4つの問題が確認されました。1つはアプライアンスへの未承認の管理者アクセスを許可しうるものを含んでいます。
Seralysとの協業において、Questはこれらの問題に対して供給されたホットフィックスによる対処を行い、業界標準に従ってCVEを公開する運びとなりました。問題が公開される前に問題を修正する時間が得られます。
Quest はこれらの脆弱性について真剣に取り組み、報告された潜在的な脆弱性すべてへの調査と応答を行いました。弊社による脆弱性報告と応答へのプロセスについてはこちらからご確認いただけます。
Quest KACE システム管理アプライアンス (SMA)には未承認の管理者アクセスを許可しうる 脆弱性 が含まれます。
CVE-2025-32975, CVE-2025-32976, CVE-2025-32977, CVE-2025-32978
CVE-2025-32975, CVE-2025-32976, CVE-2025-32977, CVE-2025-32978 として報告された KACE SMAの脆弱性は ホットフィックス(またはパッチ)の提供により解決されます。
修正済みの KACE SMA のバージョンは
(13.0向け) 13.0.385
(13.1向け) 13.1.81
(13.2向け) 13.2.183
(14.0向け) 14.0.341 (Patch 5)
(14.1向け)14.1.101 (Patch 4)
となります。
アプライアンスを更新して安全なバージョンをお使いいただきますようお願い申し上げます。
Quest は 全てのユーザー様に、プロダクトライフサイクル内のサポートされるバージョンでSMAをご利用いただく事を推奨いたします。KACEソフトウェア製品のサポートライフサイクルポリシーについて
KACE SMA version 13.x 向け:
13.2のセキュリティパッチのリンクからダウンロードします。13.x security hotfix 'KACE Systems Management Appliance 13.x Cumulative Patch 1' ( k1_bundle_13_x_p1_20250604.kbin )
適用には管理者コンソールの 設定|アプライアンスの更新 から行います。
この更新は SMA 13.0および13.1向けの 2023年10月セキュリティ修正更新を含んでいます。13.0にこのパッチ(13.x Cumulative Patch 1)を適用した後で、13.0->13.1 へアップグレードしたら再度 このパッチ(13.x Cumulative Patch 1 )を適用する必要があることにご留意ください。(13.1->13.2の場合も同様)
例: 13.1.79 -> 13.1.81 (security update) -> 13.2.182 -> 13.2.183 (security update).
KACE SMA version 14.0 およびそれ以上向け:
サポートポータルのSMA ダウンロードページへアクセスし入手可能な最新の累積更新パッチ を入手してください。
あるいはKACE SMAの管理者UI(adminui)にて 設定 | アプライアンスの更新 | サーバーとバージョンの更新 をご確認いただき、自動アップデートの通知がアプライアンスに届いているかご確認ください。
重要: 14.0.341から14.1へ更新する場合はリリース更新ファイル k1000_server_14.1.101.kbinが使用出来ます。14.0.341 からは旧更新ファイル(現在入手不可) k1000_server_14.1.95.kbin を使用するアップグレードはサポートされません。
