| タイトル | AssetView および AssetView PLATINUM に複数の脆弱性 |
|---|---|
| 概要 | 株式会社ハンモックが提供する AssetView および AssetView PLATINUM には、次の2件の脆弱性が存在します。 * ハードコードされた暗号化鍵を使用している問題 (CWE-321) - CVE-2017-10866 * 入力値検査不備 (CWE-20) - CVE-2017-10867 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 西村宗晃 氏 |
| 想定される影響 | * リモートコントロール機能を有効にしている環境において、システムで使われている暗号化鍵を知っているユーザにより、任意のクライアント端末に対し任意の操作が行われる - CVE-2017-10866 * クライアント端末上で、サーバに送信される前に一時保存される情報を改ざんされ、AssetView サーバや AssetView PLATINUM サーバのデータベースに対し任意の SQL 文を実行される - CVE-2017-10867 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。 [アップデートする] アップデートが困難な場合は、セキュリティ対策パッチ「AssetView 暗号モジュール Hotfix」を適用してください。 詳しくは、開発者が提供する情報をご確認ください。 |
| 公表日 | 2017年10月16日0:00 |
| 登録日 | 2017年12月20日11:10 |
| 最終更新日 | 2017年12月20日11:10 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:L/AC:L/Au:S/C:C/I:C/A:C |
| 株式会社ハンモック |
| AssetView PLATINUM Ver. 1.1.0 から 6.2.2 まで |
| AssetView Ver.7.0.0 から Ver. 9.2.3 まで |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年12月20日] 掲載 |
2018年2月17日10:37 |