NVD Vulnerability Detail

CVE-2016-7818

Summary	Untrusted search path vulnerability in Installers for Specification check program (social insurance) Ver. 9.00 and earlier, TODOKESHO print program Ver. 5.00 and earlier, Device data encryption program Ver. 1.00 and earlier, and TODOKESHO creation program Ver. 15.00 and earlier available prior to October 17, 2016 allows remote attackers to gain privileges via a Trojan horse DLL in an unspecified directory.
Publication Date	June 10, 2017, 1:29 a.m.
Registration Date	Jan. 26, 2021, 2:17 p.m.
Last Update	Nov. 21, 2024, 11:58 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:japan_pension_service:todokesho_creation_program:15.00:::::::*
cpe:2.3:a:japan_pension_service:device_data_encryption_program:1.00:::::::*
cpe:2.3:a:japan_pension_service:specification_check_program:9.00:::::::*
cpe:2.3:a:japan_pension_service:todokesho_print_program:5.00:::::::*

Related information, measures and tools

No	URL	タグ
1	http://www.nenkin.go.jp/denshibenri/setsumei/0104.html	Patch Vendor Advisory
2	http://www.nenkin.go.jp/denshibenri/setsumei/0104.html	Patch Vendor Advisory
3	http://www.nenkin.go.jp/denshibenri/setsumei/20140630.html	Patch Vendor Advisory
4	http://www.nenkin.go.jp/denshibenri/setsumei/20140630.html	Patch Vendor Advisory
5	http://www.nenkin.go.jp/denshibenri/setsumei/20150105-03.html	Patch Vendor Advisory
6	http://www.nenkin.go.jp/denshibenri/setsumei/20150105-03.html	Patch Vendor Advisory
7	http://www.nenkin.go.jp/denshibenri/setsumei/20150415.html#cmscheck	Patch Vendor Advisory
8	http://www.nenkin.go.jp/denshibenri/setsumei/20150415.html#cmscheck	Patch Vendor Advisory
9	http://www.securityfocus.com/bid/94616	Third Party Advisory VDB Entry
10	http://www.securityfocus.com/bid/94616	Third Party Advisory VDB Entry
11	https://jvn.jp/en/jp/JVN08868688/index.html	Third Party Advisory VDB Entry
12	https://jvn.jp/en/jp/JVN08868688/index.html	Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN Vulnerability Information

日本年金機構製の複数のインストーラにおける DLL 読み込みに関する脆弱性

Title	日本年金機構製の複数のインストーラにおける DLL 読み込みに関する脆弱性
Summary	日本年金機構が提供する複数の製品のインストーラには、DLL を読み込む際の検索パスに関する処理に不備があり、意図しない DLL を読み込んでしまう脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NTTコミュニケーションズ東内裕二氏
Possible impacts	次の条件を満たす場合に脆弱性が悪用されます。脆弱性が悪用された場合、インストーラを実行しているプロセスの権限で任意のコードを実行される可能性があります。・攻撃者の意図する場所に、細工された DLL ファイルが何らかの方法で配置されている
Solution	[新規インストールやバージョンアップには最新のインストーラを使用する] 新規インストールやバージョンアップの際には、開発者が提供する情報をもとに、最新のインストーラを使用してください。
Publication Date	Dec. 1, 2016, midnight
Registration Date	Dec. 1, 2016, 12:03 p.m.
Last Update	Jan. 17, 2018, 1:52 p.m.

Affected System

日本年金機構

仕様チェックプログラム(社会保険) Ver. 9.00 およびそれ以前

媒体データパスワード設定プログラム Ver. 1.00 およびそれ以前

届書作成プログラム Ver. 15.00 およびそれ以前

届書印刷プログラム Ver. 5.00 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7818	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7818
National Vulnerability Database (NVD)
2	CVE-2016-7818	https://nvd.nist.gov/vuln/detail/CVE-2016-7818

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
日本年金機構
1	仕様チェックプログラム（社会保険）	http://www.nenkin.go.jp/denshibenri/setsumei/20150415.html#cmscheck
2	媒体データパスワード設定プログラム	http://www.nenkin.go.jp/denshibenri/setsumei/0104.html
3	届書作成プログラム	http://www.nenkin.go.jp/denshibenri/setsumei/20150105-03.html
4	届書印刷プログラム	http://www.nenkin.go.jp/denshibenri/setsumei/20140630.html

その他

No	Name	URL
JVN
1	JVN#08868688	https://jvn.jp/jp/JVN08868688/index.html

Change Log

No	Changed Details	Date of change
0	[2016年12月1日] 掲載 [2018年01月17日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-7818) を追加	Feb. 17, 2018, 10:37 a.m.