NVD Vulnerability Detail

CVE-2014-4875

Summary	CreateBossCredentials.jar in Toshiba CHEC before 6.6 build 4014 and 6.7 before build 4329 contains a hardcoded AES key, which allows attackers to discover Back Office System Server (BOSS) DB2 database credentials by leveraging knowledge of this key in conjunction with bossinfo.pro read access.
Publication Date	June 24, 2015, 7:59 p.m.
Registration Date	Jan. 26, 2021, 3:13 p.m.
Last Update	Nov. 21, 2024, 11:11 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/301788	Third Party Advisory US Government Resource
2	http://www.kb.cert.org/vuls/id/301788	Third Party Advisory US Government Resource
3	http://www.kb.cert.org/vuls/id/JLAD-9X4SPN	Third Party Advisory US Government Resource
4	http://www.kb.cert.org/vuls/id/JLAD-9X4SPN	Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-255	証明書・パスワード管理	https://cwe.mitre.org/data/definitions/255.html

JVN Vulnerability Information

Toshiba CHEC に AES 共通鍵がハードコードされている問題

Title	Toshiba CHEC に AES 共通鍵がハードコードされている問題
Summary	Toshiba CHEC には、AES 共通鍵がハードコードされている問題が存在します。暗号鍵がハードコードされている問題 (CWE-321) - CVE-2014-4875 Toshiba CHEC の CreateBossCredentials.jar には、暗号化に用いる AES 共通鍵がハードコードされている問題が存在します。bossinfo.pro ファイルにアクセス可能な攻撃者は、ハードコードされた AES 共通鍵を使用して、BOSS データベースの認証情報など暗号化された情報を復号することが可能です。 CWE-321: Use of Hard-coded Cryptographic Key http://cwe.mitre.org/data/definitions/321.html
Possible impacts	当該製品にアクセス可能な攻撃者によって、BOSS データベースの認証情報を取得される可能性があります。
Solution	[アップデートする] 開発者は Toshiba CHEC version 6.6 build level 4014 および version 6.7 build level 4329 において CreateBossCredentials.jar を削除することで本脆弱性を修正しています。開発者が提供する情報をもとに最新版へアップデートし、CreateBossCredentials.jar が削除されていることを確認してください。
Publication Date	June 8, 2015, midnight
Registration Date	June 10, 2015, noon
Last Update	June 25, 2015, 5:29 p.m.

Affected System

TOSHIBA Global Commerce Solutions, Inc.

Toshiba CHEC version 6.6、6.7

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-4875	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4875
National Vulnerability Database (NVD)
2	CVE-2014-4875	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4875

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-255	https://jvndb.jvn.jp/ja/cwe/CWE-255.html

ベンダー情報

No	Name	URL
IBM
1	Toshiba Global Commerce Solutions Self Checkout System 6	http://www-03.ibm.com/products/retail/products/self/sco6/specs.html
TOSHIBA Global Commerce Solutions
2	Top Page	https://www.toshibacommerce.com

その他

No	Name	URL
JVN
1	JVNVU#91309683	http://jvn.jp/vu/JVNVU91309683/index.html
US-CERT Vulnerability Note
2	Toshiba Commerce Solutions Information for VU#301788	http://www.kb.cert.org/vuls/id/JLAD-9X4SPN
3	VU#301788	http://www.kb.cert.org/vuls/id/301788

Change Log

No	Changed Details	Date of change
0	[2015年06月10日] 掲載 [2015年06月25日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2014-4875) を追加	Feb. 17, 2018, 10:37 a.m.