| タイトル | CollabNet ScrumWorks Basic Server における認証情報取り扱いに関する問題 |
|---|---|
| 概要 | CollabNet ScrumWorks Basic は、CollabNet が提供するプロジェクト管理ツールです。CollabNet ScrumWorks Basic Server と CollabNet ScrumWorks Desktop Client の間では、認証情報が平文で通信されています。 CollabNet ScrumWorks Basic Server は CollabNet ScrumWorks Desktop Client と通信する際、暗号化されていない Java オブジェクトを使用します。この Java オブジェクトには、CollabNet ScrumWorks Basic Server の認証情報が含まれています。 また、CollabNet ScrumWorks Basic Server では、認証情報が平文で内部データベースに格納されています。 |
| 想定される影響 | 製品にアクセス可能または通信を傍受可能な第三者によって、認証情報を閲覧される可能性があります。 |
| 対策 | [CollabNet ScrumWorks Proを使用する] CollabNet によると、CollabNet ScrumWorks Basic に暗号化機能を新たに追加する予定はありません。機密情報を取り扱う際は、CollabNet ScrumWorks Pro の使用が推奨されています。 [ワークアラウンドを実施する] CollabNet ScrumWorks へのアクセス制限と通信内容の暗号化により、本問題の影響を軽減することが可能です。 |
| 公表日 | 2011年1月24日0:00 |
| 登録日 | 2011年2月21日14:54 |
| 最終更新日 | 2011年2月21日14:54 |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| CollabNet, Inc. |
| CollabNet ScrumWorks Basic |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2011年02月21日] 掲載 |
2018年2月17日10:37 |
| 概要 | CollabNet ScrumWorks Basic 1.8.4 uses cleartext credentials for network communication and the internal database, which makes it easier for context-dependent attackers to obtain sensitive information by (1) sniffing the network for transmissions of Java objects or (2) reading the database. |
|---|---|
| 公表日 | 2011年1月25日3:00 |
| 登録日 | 2021年1月28日16:37 |
| 最終更新日 | 2024年11月21日10:23 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:collabnet:scrumworks:1.8.4:basic:*:*:*:*:*:* | |||||