製品・ソフトウェアに関する情報

JVN脆弱性詳細

Windows 版公的個人認証サービス利用者クライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性

タイトル	Windows 版公的個人認証サービス利用者クライアントソフトのインストーラにおける DLL 読み込みに関する脆弱性
概要	地方公共団体情報システム機構 (J-LIS) が提供する Windows 版公的個人認証サービス利用者クライアントソフトのインストーラには、DLL を読み込む際の検索パスに関する処理に不備があり、意図しない DLL を読み込んでしまう脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: NTTコミュニケーションズ東内裕二氏
想定される影響	次の条件を満たす場合に脆弱性が悪用されます。脆弱性が悪用された場合、インストーラを実行しているプロセスの権限で任意のコードを実行される可能性があります。・攻撃者の意図する場所に、細工された DLL ファイルが何らかの方法で配置されている
対策	[最新のインストーラを使用する] 開発者が提供する情報をもとに、最新のインストーラを使用してください。 [公的個人認証サービス利用者クライアントソフトのインストーラを実行しない] 本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザは本脆弱性の影響を受けません。また、最新版ではないインストーラは削除してください。
公表日	2016年11月1日0:00
登録日	2016年11月1日15:05
最終更新日	2017年12月25日11:26

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

地方公共団体情報システム機構

公的個人認証サービス利用者クライアントソフト Ver2.6 およびそれ以前

公的個人認証サービス利用者クライアントソフト Ver3.0.1（Vista対応版）およびそれ以前の Ver3 系

公的個人認証サービス利用者クライアントソフト Ver3.0.1（Windows7以降対応版）およびそれ以前の Ver3 系

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-4902	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4902
National Vulnerability Database (NVD)
2	CVE-2016-4902	https://nvd.nist.gov/vuln/detail/CVE-2016-4902

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
地方公共団体情報システム機構
1	Windowsをご利用の方 - 利用者クライアントソフトのダウンロード	https://www.jpki.go.jp/download/win.html#dl

その他

No	名前	URL
JVN
1	JVN#91002412	https://jvn.jp/jp/JVN91002412/index.html

変更履歴

No	変更内容	変更日
0	[2016年11月01日] 掲載 [2016年11月16日] 対策：内容を更新 [2016年11月22日] 影響を受けるシステム：内容を更新対策：内容を更新 [2017年12月25日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-4902) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-4902

概要	Untrusted search path vulnerability in The Public Certification Service for Individuals "The JPKI user's software (for Windows 7 and later)" Ver3.0.1 and earlier, The Public Certification Service for Individuals "The JPKI user's software (for Windows Vista)" Ver3.0.1 and earlier and The Public Certification Service for Individuals "The JPKI user's software" Ver2.6 and earlier allows remote attackers to gain privileges via a Trojan horse DLL in an unspecified directory.
公表日	2017年6月10日1:29
登録日	2021年1月26日14:13
最終更新日	2024年11月21日11:53

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:jpki:the_public_certification_service_for_individuals::::::::		2.6
cpe:2.3:a:jpki:the_public_certification_service_for_individuals_for_windows_vista::::::::		3.0.1
cpe:2.3:a:jpki:the_public_certification_service_for_individuals_for_windows_7::::::::		3.0.1

No	URL	タグ
1	http://www.securityfocus.com/bid/94087	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/94087	Third Party Advisory VDB Entry
3	https://jvn.jp/en/jp/JVN91002412/index.html	Third Party Advisory VDB Entry
4	https://jvn.jp/en/jp/JVN91002412/index.html	Third Party Advisory VDB Entry