Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

ADV-2023-001: TabPy の Tableau Server への未認証アクセス

公開日: Nov 8, 2023
説明

TabPy (Tableau Python Server) インストールは、認証なしで任意の python コードを実行するように構成することができます。この構成は、インストールされている TabPy が原因で、管理者にただちに明確にならない場合があります。

未認証の攻撃者が、認証が有効にされていない TabPy インスタンスでリモート コードを実行できる可能性があります。TabPy は認証ありでも認証なしでもどちらでも実行するように設計されていますが、未認証モードで TabPy を実行するユーザーはリスクの可能性を認識できない場合があるため、https://github.com/tableau/TabPy にあるドキュメントを十分に確認しておく必要があります。

注: これは Tableau の脆弱性ではありません。これはリスクを招く可能性のある TabPy の推奨されない実装です。



 
解決策
TabPy 2.9.0 では、認証なしで TabPy を実行し続けるために、警告メッセージの確認を必要とするようになりました。この警告メッセージには、認証なしで TabPy を実行することは、安全でない構成であり、推奨されない旨のステートメントが含まれます。
その他のリソース

重大度: 重大

CVSS3 スコア: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A: 10.0H

    ナレッジ記事番号

    001475337

     
    読み込み中
    Salesforce Help | Article