製品・ソフトウェアに関する情報
Vulnerability Search
HR Systems Strategies の info:HR に認証情報の管理に関する脆弱性
Title HR Systems Strategies の info:HR に認証情報の管理に関する脆弱性
Summary

HR Systems Strategies が提供する info:HR には、認証情報の管理に関する脆弱性が存在します。 HR Systems Strategies が提供する人事管理システムである info:HR は、Microsoft Windows プラットフォームで動作するアプリケーションです。info:HR は、Microsoft SQL Server を使用しており、データベースの認証情報をレジストリに保存しています。 この認証情報は Windows の全てのユーザがアクセス可能な設定となっており、不完全な暗号化をおこなっているため、容易に復号することが可能です。 本脆弱性には、次のような問題が含まれています。  * CWE-314: Cleartext Storage in the Registry   http://cwe.mitre.org/data/definitions/314.html  * CWE-327: Use of a Broken or Risky Cryptographic Algorithm   http://cwe.mitre.org/data/definitions/327.html

Possible impacts 当該製品が稼動している Windows システムにログイン可能なユーザによってデータベースのパスワードを復号され、個人情報などを取得される可能性があります。
Solution

[パッチを適用する] 開発者によると、本脆弱性を修正するパッチを 2013年中にリリースする予定とのことです。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。  * レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\HR Systems\ODBC Setup\USERPW へのアクセスを制限する
Publication Date Oct. 15, 2013, midnight
Registration Date Oct. 18, 2013, 10:23 a.m.
Last Update Oct. 18, 2013, 10:23 a.m.
CVSS2.0 : 警告
Score 4.1
Vector AV:L/AC:M/Au:S/C:P/I:P/A:P
Affected System
HR Systems Strategies Inc.
info:HR 7.9 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2013年10月18日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2013-5208
Summary

HR Systems Strategies info:HR HRIS 7.9 does not properly protect the database password, which allows local users to bypass intended database restrictions by accessing the USERPW registry key and bypassing an unspecified obfuscation technique.

Publication Date Oct. 16, 2013, 7:52 p.m.
Registration Date Jan. 26, 2021, 3:45 p.m.
Last Update Nov. 21, 2024, 10:57 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:infohr:hr_human_resource_information_system:7.9:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List