| Title |
AssetView および AssetView PLATINUM に複数の脆弱性
|
| Summary |
株式会社ハンモックが提供する AssetView および AssetView PLATINUM には、次の2件の脆弱性が存在します。 * ハードコードされた暗号化鍵を使用している問題 (CWE-321) - CVE-2017-10866 * 入力値検査不備 (CWE-20) - CVE-2017-10867 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 西村宗晃 氏
|
| Possible impacts |
* リモートコントロール機能を有効にしている環境において、システムで使われている暗号化鍵を知っているユーザにより、任意のクライアント端末に対し任意の操作が行われる - CVE-2017-10866 * クライアント端末上で、サーバに送信される前に一時保存される情報を改ざんされ、AssetView サーバや AssetView PLATINUM サーバのデータベースに対し任意の SQL 文を実行される - CVE-2017-10867 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。 [アップデートする] アップデートが困難な場合は、セキュリティ対策パッチ「AssetView 暗号モジュール Hotfix」を適用してください。 詳しくは、開発者が提供する情報をご確認ください。 |
| Publication Date |
Oct. 16, 2017, midnight |
| Registration Date |
Dec. 20, 2017, 11:10 a.m. |
| Last Update |
Dec. 20, 2017, 11:10 a.m. |