Oracle Cloud のCVE-2022-21503対応で認証情報を更新

投稿者: | 2022年7月5日

2022年6月15日に Oracle Cloud から 脆弱性 CVE-2022-2150 の対処方法を記したEメールが届きました。その長文メールの内容に沿って、ツールによる検証と必要な対処を進めます。

概要と必要なユーザアクション

巻物のように長いそのメールには、脆弱性CVE-2022-21503対応の一環で、ユーザ側で必要なアクションが延々と記述されているのですが、ユーザのやる気は削がれるばかり。

図1.Oracle Cloudから届いた長文メール

図1.Oracle Cloudから届いた長文メール

それでもしぶしぶと読み進めると、Cloud Shellで実行可能な検証ツールが用意されているので、まずはこれを実行してみれば良さそう。

How do I find the credentials that must be rotated?
Most administrators already have the necessary permissions to access Cloud Shell.
They can click the Cloud Shell icon and type the command, “identity-audit-tool.”

 

identity-audit-toolで検査

Oracle Cloudへログインしようとするとまず、ログインパスワードの更新を求められます(今回の件でシステム側でリセットされたのでしょう)。

図2.ログインパスワードの更新

図2.ログインパスワードの更新

ログイン後Cloud Shellを開くには、右上にあるこのアイコンから。

図3.Cloud Shell アイコン

図3.Cloud Shell アイコン

まずはメールの指示通り、このCloud Shell上で検査ツール identity-audit-tool を実行してみます。

図4.identity-audit-toolを実行

図4.identity-audit-toolを実行



私はあまり使い込んでいないせいか、更新の必要の有る認証情報は1件のみでした。

 

検査結果をダウンロード

検査結果を保存したCSVファイルは、Cloud Shellで cat コマンドで閲覧してもいいのですが、Cloud Shellウィンドウ左上のハンバーガアイコンをクリックすると開くメニューにダウンロードの機能があるので、これを使い手元へダウンロードすることが出来ます。

図5.Cloud Shell ダウンロード機能

図5.Cloud Shell ダウンロード機能



 

MFA TOTP device seedsの削除

今回該当したMFA TOTP device云々と言うのは、こちらのOracle Mobile Authenticatorと言う認証用アプリで使われるセキュリティ情報とのこと。

当該アプリは触ったことすらないので、この認証情報は一体いつ作られたのか、デフォルトで存在していたのか、それともOracleCloudを始めた際にあれこれ試していた中で、予期せず生成されてしまったのか、今となっては知る由も無いのですが、こちらのスマートフォン向けOracle Cloud Infrastructureアプリ関連ではないようです(こちらは使っています)。

使いもしない認証情報を保持しておきたくないので、削除の方法を長文メールの中から探し出します。

MFA TOTP device seeds
Delete inactive MFA TOTP devices. Disabling MFA and enabling MFA does not rotate the seed for an inactive MFA TOTP device.
If the script reports an MFA TOTP Device with an inactive credential status, delete that MFA TOTP device using the API.

とあり、次のドキュメントが参照されていました。

引き続きCloud Shellで oci iam mfa-totp-device list を実行します(引数に渡すOCIDが長いので便宜的にバックスラッシュで複数行にして実行しています)。

ではこの認証情報を以下のように削除します。

 

identity-audit-toolで再確認

これで処置が必要な項目は消えたはずなので、長文メールの指示に従い、もう一度 identity-audit-tool を実行してみます。

How do I find the credentials that must be rotated?
You can rerun this tool periodically to track your progress in rotating affected credentials.

これで晴れて脆弱性に対する処置が必要な認証情報は無くなりました。

 

 

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA