| タイトル | c-treeACE の難読化アルゴリズムに脆弱性 |
|---|---|
| 概要 | FairCom が提供する c-treeACE には、脆弱な難読化アルゴリズムを使用しているため、鍵やパスワードの情報がなくても、もとの情報を復元される問題が存在します。 問題のアルゴリズムは、過去には FairCom Standard Encryption と呼ばれており、現在では Data Camouflage と呼ばれています。 Data Camouflage アルゴリズム (旧名称 FairCom Standard Encryption) を使用して難読化された c-treeACE のデータベースを取得可能な攻撃者は、データベースの .fcs ファイルを、トライアル版のデフォルトの .fcs ファイルで置き換えることで、デフォルトの認証情報 (ADMIN/ADMIN) でデータベースにアクセスし、データベースの情報を閲覧することができます。 |
| 想定される影響 | c-treeACE のデータベースを取得可能な攻撃者によって、データベースの情報を閲覧される可能性があります。 |
| 対策 | [Advanced File Encryption を使用する] データベースの情報の機密性を確保したい場合は、Advanced File Encryption を使用してください。 Advanced File Encryption では、AES などの標準的な暗号化アルゴリズムを使用することが可能です。 |
| 公表日 | 2013年6月10日0:00 |
| 登録日 | 2013年6月12日14:01 |
| 最終更新日 | 2013年6月19日9:47 |
| CVSS2.0 : 危険 | |
| スコア | 7.1 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:C/I:N/A:N |
| FairCom |
| c-treeACE |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年06月12日] 掲載 [2013年06月19日] CVSS による深刻度:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2013-0148) を追加 CWE による脆弱性タイプ一覧:CWE-ID を追加 |
2018年2月17日10:37 |
| 概要 | The Data Camouflage (aka FairCom Standard Encryption) algorithm in FairCom c-treeACE does not ensure that a decryption key is needed for accessing database contents, which allows context-dependent attackers to read cleartext database records by copying a database to another system that has a certain default configuration. |
|---|---|
| 公表日 | 2013年6月17日2:55 |
| 登録日 | 2021年1月26日15:32 |
| 最終更新日 | 2024年11月21日10:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:faircom:c-treeace:-:*:*:*:*:*:*:* | |||||