製品・ソフトウェアに関する情報

JVN脆弱性詳細

OSCI Transport Library で使用される OSCI-Transport における署名ラッピング攻撃を実行される脆弱性

タイトル	OSCI Transport Library で使用される OSCI-Transport における署名ラッピング攻撃を実行される脆弱性
概要	OSCI Transport Library (Java) および OSCI Transport Library (.NET) で使用される OSCI-Transport には、署名ラッピング攻撃を実行される脆弱性が存在します。
想定される影響	暗号化されていない OSCI プロトコルメッセージへのアクセス権を持つ攻撃者により、重複した ID を持つ巧妙に細工されたプロトコルメッセージを送信される可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2017年6月30日0:00
登録日	2017年7月25日12:10
最終更新日	2017年7月25日12:10

影響を受けるシステム

Xoev

OSCI Transport Library 1.6 (.NET)

OSCI Transport Library 1.6.1 (Java)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-10669	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10669
National Vulnerability Database (NVD)
2	CVE-2017-10669	https://nvd.nist.gov/vuln/detail/CVE-2017-10669

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-347	https://cwe.mitre.org/data/definitions/347.html

ベンダー情報

No	名前	URL
Xoev
1	Top Page	http://www.xoev.de/

その他

No	名前	URL
関連文書
1	SEC Consult SA-20170630-0 :: Multiple critical vulnerabilities in OSCI-Transport library 1.2 for German e-Government	http://seclists.org/fulldisclosure/2017/Jun/44

変更履歴

No	変更内容	変更日
0	[2017年07月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-10669

概要	Signature Wrapping exists in OSCI-Transport 1.2 as used in OSCI Transport Library 1.6.1 (Java) and OSCI Transport Library 1.6 (.NET). An attacker with access to unencrypted OSCI protocol messages must send crafted protocol messages with duplicate IDs.
公表日	2017年6月30日21:29
登録日	2021年1月26日13:12
最終更新日	2024年11月21日12:06

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:xoev:osci_transport_library:1.6.1::::java:::
cpe:2.3:a:xoev:osci_transport_library:1.6::::.net:::

No	URL	refsource	タグ
1	http://blog.sec-consult.com/2017/06/german-e-government-details-vulnerabilities.html	MISC	Technical Description Third Party Advisory
2	http://seclists.org/fulldisclosure/2017/Jun/44		Mailing List Third Party Advisory
3	http://seclists.org/fulldisclosure/2017/Jun/44		Mailing List Third Party Advisory