製品・ソフトウェアに関する情報

JVN脆弱性詳細

OS X 向け Alertus Desktop Notification に不適切な権限設定の問題

Title	OS X 向け Alertus Desktop Notification に不適切な権限設定の問題
Summary	OS X 向け Alertus Desktop Notification は、設定ファイルその他のファイルアクセス権限がセキュアでないため、権限を持たない攻撃者が通知を無効にしたり、コンテンツを改ざんしたりすることが可能です。不適切なデフォルトパーミッション (CWE-276) - CVE-2016-5087 Alertus Desktop Notification は、緊急通知を受信して PC や Mac などのクライアントシステム上で表示するためのソフトウェアです。OS X 向け Alertus Desktop Notification は、設定ファイルなどのファイルアクセス権限がセキュアでないため、クライアントシステムにログインできる攻撃者が、通知を無効にしたりコンテンツを改ざんしたりすることが可能です。 CWE-276: Incorrect Default Permissions http://cwe.mitre.org/data/definitions/276.html
Possible impacts	ログイン可能な攻撃者によって、設定ファイルやその他のファイルを削除されることで通知を無効化されたり、コンテンツを改ざんされたりする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した version 2.9.31.1710 をリリースしています。 [ワークアラウンドを実施する] 開発者は、当該製品のアップデートができない、またはアップデートを望まないユーザ向けに次のように述べています。　We are providing a script that fixes the permissions if an upgrade cannot be performed. Refer to the URL below for script and more information: 　(アップグレードができない環境向けに、アクセス権限を修正するスクリプトを提供しています。スクリプトや更なる情報は以下の URL をご確認ください) 　https://helpdesk.alertus.com/solution/articles/3000054559-osx-permissions-patch-script-for-alertus-desktop-osx-2-9-30-1700
Publication Date	June 23, 2016, midnight
Registration Date	June 27, 2016, 11:38 a.m.
Last Update	June 27, 2016, 11:38 a.m.

CVSS3.0 : 警告
Score	4.4
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

CVSS2.0 : 注意
Score	3.2
Vector	AV:L/AC:L/Au:S/C:N/I:P/A:P

Affected System

Alertus Technologies, LLC.

Alertus Desktop Notification version 2.9.30.1700 およびそれ以前 (OS X)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-5087	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5087
National Vulnerability Database (NVD)
2	CVE-2016-5087	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5087

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Alertus Technologies
1	Alertus Customer Portal (要ログイン)	http://my2.alertus.com/index.php?host_url=helpdesk.alertus.com
2	Alertus Desktop Notification	http://alertus.com/capabilities/desktop

その他

No	Name	URL
JVN
1	JVNVU#95927790	http://jvn.jp/vu/JVNVU95927790/index.html
US-CERT Vulnerability Note
2	VU#302544	http://www.kb.cert.org/vuls/id/302544

Change Log

No	Changed Details	Date of change
0	[2016年06月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-5087

Summary	Alertus Desktop Notification before 2.9.31.1710 on OS X uses weak permissions for configuration files and unspecified other files, which allows local users to suppress emergency notifications or change content via standard filesystem operations.
Publication Date	June 26, 2016, 10:59 a.m.
Registration Date	Jan. 26, 2021, 2:13 p.m.
Last Update	Nov. 21, 2024, 11:53 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:alertus:alertus_desktop_notification_for_os_x::::::::			2.9.30.1700

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/302544	Third Party Advisory US Government Resource
2	http://www.kb.cert.org/vuls/id/302544	Third Party Advisory US Government Resource
3	http://www.kb.cert.org/vuls/id/BLUU-A9TJHR	Third Party Advisory US Government Resource
4	http://www.kb.cert.org/vuls/id/BLUU-A9TJHR	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html