テクニカルトピックス

　2025年秋にリリースされた、Swivel Appliance （AuthControl Sentry）Ver.4.2.4(7269)で実施された主な機能改善、利便性向上、セキュリティ対策等について、主なアップデートを抜粋してご説明いたします。

◆セキュリティとコンプライアンス対策

• CVE-2024-3596（RADIUS脆弱性）対策
  この更新は、RADIUS通信における中間者攻撃に対する保護を強化することで、重大な脆弱性を軽減します。影響: RADIUS応答におけるメッセージ認証を強制することでCVE-2024-3596に対処します。これにより完全性検証が保証され、偽装されたAccess-Accept/Rejectメッセージからの保護が実現されます。認証されていないRADIUSトラフィックに依存する環境では、互換性を維持するために設定変更またはクライアントの更新が必要となる場合があります。これはセキュリティ上極めて重要な更新であり、すべての公開環境で適用する必要があります。
• ライセンス適用の修正
  内部フォーマット変更による旧フォーマットのライセンスキーの読み取りが失敗する問題を修正しました。 システムは以前に有効だったライセンスで動作するようになりました。影響範囲：以前に発行されたキーを使用する本番環境およびテスト環境におけるライセンスアクティベーションの失敗を防止し、ライセンス拒否によるダウンタイムやアップグレードのブロックを回避します。また、ライセンスキーサーバー（LKS）へのオンラインアクセスがないシステムの問題も解決します。

◆バグフィックス

• ログビューアにおける無効文字の解決
  ログに無効な文字が含まれる場合、Log Viewerの表示が破損する問題を解決しました。
  これにより、診断の信頼性が向上し、ログ破損による運用上の盲点を防止します。
• 未知のユーザーの場合のPINpad動作停止の問題を解決
  管理パネルで存在しないユーザーがクエリされた際にダミーセッションを提供し、動作停止を抑止します。これにより、特にサポートや診断作業時において、管理者の安定したユーザーフレンドリーな操作環境を確保します。
• 特殊文字を含むユーザーの場合のトークン割当の問題を解決
  特殊文字を含むユーザーの場合、トークンの割当が正しく行えなくなる問題を修正しました。

◆ユーザ管理機能の改善

• 再プロビジョニング機能の追加
  既存ユーザーを、認証情報を削除せずに再プロビジョニング可能にしました。管理者がユーザーの既存IDを削除せずにモバイルアプリの再割り当てや認証情報の再発行が可能になります。特にユーザーがデバイスを切り替えた場合やプロビジョニングが破損した場合に有用です。

以上は、国内のお客様に影響すると思われるアップデートを抜粋して記載しました。
詳細（全文）は下記サイトをご確認下さい。
https://docs.swivelsecure.com/releaseNotes.html#authcontrol-sentry-4-2-4-7269