製品・ソフトウェアに関する情報

JVN脆弱性詳細

Fonality の Chrome HUDWeb プラグインにおける暗号保護メカニズムを破られる脆弱性

Title	Fonality の Chrome HUDWeb プラグインにおける暗号保護メカニズムを破られる脆弱性
Summary	Fonality (旧 trixbox Pro) の Chrome HUDWeb プラグインは、異なるカスタマのインストールに同一のハードコードされた秘密鍵を使用するため、暗号保護メカニズムを破られる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-321: Use of Hard-coded Cryptographic Key (ハードコードされた暗号鍵の使用) と識別されています。 http://cwe.mitre.org/data/definitions/321.html
Possible impacts	第三者により、他のインストールの鍵情報を利用されることで、暗号保護メカニズムを破られる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 1, 2016, midnight
Registration Date	June 22, 2016, 5:17 p.m.
Last Update	June 22, 2016, 5:17 p.m.

Affected System

Fonality

Fonality 12.6 から 14.1i

HUDWeb 2016-05-05 より前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2364	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2364
National Vulnerability Database (NVD)
2	CVE-2016-2364	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2364

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html
2	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Fonality
1	Business VoIP Solutions from Fonality	http://www.fonality.com/
2	Fonality Server Software (formerly trixbox Pro)	http://www.fonality.com/support/software-download
3	HUD Release Notes	http://help.fonality.com/Release_Notes/HUD_Release_Notes

その他

No	Name	URL
JVN
1	JVNVU#99203738	http://jvn.jp/vu/JVNVU99203738/index.html
US-CERT Vulnerability Note
2	VU#754056	http://www.kb.cert.org/vuls/id/754056

Change Log

No	Changed Details	Date of change
0	[2016年06月22日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-2364

Summary	The Chrome HUDweb plugin before 2016-05-05 for Fonality (previously trixbox Pro) 12.6 through 14.1i uses the same hardcoded private key across different customers' installations, which allows remote attackers to defeat cryptographic protection mechanisms by leveraging knowledge of this key from another installation.
Publication Date	June 20, 2016, 10:59 a.m.
Registration Date	Jan. 26, 2021, 2:08 p.m.
Last Update	Nov. 21, 2024, 11:48 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:fonality:hud_web::::::fonality::*		1.4.1
cpe:2.3:a:fonality:fonality:12.6:::::::*
cpe:2.3:a:fonality:fonality:12.8:::::::*
cpe:2.3:a:fonality:fonality:14.1i:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.kb.cert.org/vuls/id/754056		Third Party Advisory US Government Resource
2	http://www.kb.cert.org/vuls/id/754056		Third Party Advisory US Government Resource

Common Vulnerabilities List