MEDIUMCVE-2026-34397CVSS 6.3

himmelblau: NSS フェイクプライマリグループルックアップによる名前衝突のリスクが再導入

Q: CVE-2026-34397 — 特権昇格 in Himmelblau IDMとは何ですか？

CVE-2026-34397は、Himmelblau IDMのバージョン2.0.0-alphaから3.1.1未満に存在する条件付きローカル特権昇格の脆弱性です。認証済みユーザーがCN/短縮名で特権ローカルグループ名と一致する場合、権限昇格が発生する可能性があります。

Q: CVE-2026-34397 in Himmelblau IDMの影響を受けていますか？

Himmelblau IDMのバージョン2.0.0-alphaから3.1.1未満を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン3.1.1にアップグレードすることで、脆弱性を修正できます。

Q: CVE-2026-34397 in Himmelblau IDMを修正するにはどうすればよいですか？

Himmelblau IDMをバージョン3.1.1にアップグレードすることが推奨されます。アップグレードがシステムに影響を与える場合は、一時的な回避策として、NSSが使用するグループベースの認証決定を無効化することを検討してください。

Q: CVE-2026-34397に関するHimmelblau IDMの公式アドバイザリはどこで入手できますか？

Himmelblau IDMの公式アドバイザリは、Himmelblauの公式ウェブサイトまたは関連するセキュリティ情報源で入手できます。

プラットフォーム

azure

コンポーネント

himmelblau

修正版

2.0.1

3.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34397は、Microsoft Azure Entra IDとIntuneの相互運用スイートであるHimmelblau IDMに存在する条件付きローカル特権昇格の脆弱性です。この脆弱性は、バージョン2.0.0-alphaから3.1.1未満のバージョンに影響を与えます。認証されたHimmelblau IDMユーザーが、CN/短縮名が「sudo」、「wheel」、「docker」、「adm」などの特権ローカルグループ名と完全に一致する場合、NSSモジュールがそのグループ名を偽のプライマリグループとして解決する可能性があります。この脆弱性は、システムがNSSの結果をグループベースの認証決定に使用する場合に、攻撃者が特権を取得する可能性があります。バージョン3.1.1で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、認証された攻撃者はローカル特権を昇格させ、システム上でより高い権限で動作できるようになる可能性があります。攻撃者は、sudo、polkitなどのグループベースの認証メカニズムをバイパスし、システムへの不正アクセスや機密情報の窃取、システムの改ざんなど、広範囲にわたる影響を引き起こす可能性があります。この脆弱性は、特にAzure Entra IDとIntuneを統合して使用している環境において、重大なセキュリティリスクをもたらします。攻撃者は、既存の認証情報を悪用して、システム管理者の権限を奪取し、組織全体のセキュリティを脅かす可能性があります。

悪用の状況

この脆弱性は、2026年4月1日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。攻撃者は、CN/短縮名と特権ローカルグループ名の一致を悪用し、システムへの不正アクセスを試みる可能性があります。

リスク対象者翻訳中…

Organizations heavily reliant on Azure Entra ID and Intune for user management and authentication are at increased risk. Environments with legacy configurations or inconsistent naming conventions for user accounts are particularly vulnerable. Shared hosting environments where user accounts have limited control over their CN/short names may also be affected.

検出手順翻訳中…

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID = 4624 -MessageText '*sudo*'"

• linux / server:

journalctl | grep -i 'nss_init' | grep -i 'group'

• generic web:

curl -I http://<your_himmelblau_idm_url>/ | grep 'Server: Himmelblau IDM'

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントhimmelblau

ベンダーhimmelblau-idm

影響範囲修正版

>= 2.0.0-alpha, < 2.3.9 – >= 2.0.0-alpha, < 2.3.92.0.1

>= 3.0.0-alpha, < 3.1.1 – >= 3.0.0-alpha, < 3.1.13.0.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2026-03-27
公開日2026-04-01
更新日2026-04-04
EPSS 更新日2026-04-09

緩和策と回避策

この脆弱性への最善の対応は、Himmelblau IDMをバージョン3.1.1にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、NSSが使用するグループベースの認証決定を無効化することを検討してください。また、WAFやプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。Himmelblau IDMのログを監視し、異常なアクティビティを検出することも重要です。アップグレード後、NSSの設定が正しく適用されていることを確認し、特権昇格が発生していないことを検証してください。

修正方法

該当するバージョンブランチに応じて、Himmelblau をバージョン 2.3.9 以降、またはバージョン 3.1.1 以降にアップデートしてください。これにより、ローカル権限昇格の脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34397 — 特権昇格 in Himmelblau IDMとは何ですか？