JVNDB-2008-001053
|
GE Fanuc Proficy Information Portal が認証情報を平文で送信する問題
|
|
GE Fanuc Proficy Information Portal では、認証情報が平文で送信されます。攻撃者は、この通信を傍受する事で認証情報を入手し、Portal へ侵入する可能性があります。
GE Fanuc Proficy Information Portal は、生産情報システムと企業間ネットワークをつなぎ、オンラインで生産情報などのデータを統合的に扱うウェブベースのシステム状況報告システムです。この Proficy Information Portal の認証情報は、平文で送信されているため、攻撃者によってこの通信が傍受され、認証情報を入手される可能性があります。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
GE Fanuc
- GE Fanuc Proficy Real-Time Information Portal 2.6 およびそれ以前
|
|
|
通信を傍受できる攻撃者によって、認証情報が取得される可能性があります。
|
|
SSL を利用する
Proficy Information Portal version 2.5 以上は、サーバとクライアント間で SSL(Secure Socket Layer)による通信をサポートしています。SSL は、認証・暗号化・完全性・否認防止のためのサービスを、公開鍵と秘密鍵や証明書を用いて提供しています。詳細は、GE Fanuc knowledge base (KB12459) をご参照ください。
Windows 統合認証を有効にする
ベンダによれば、Portal で Domain 認証を利用することにより、ユーザの認証情報を平文で送らないようにすることが可能との事です。詳細は、GE Fanuc knowledge base (KB12459) 、および Microsoft の関連情報をご参照ください。
ワークアラウンドを実施する
インターネットの様な信頼出来ないネットワークから Portal へのアクセスを許可しないでください。
|
|
GE Fanuc
|
|
- 重要な情報の平文保存(CWE-312) [NVD評価]
|
|
- CVE-2008-0174
|
|
- JVN : JVNVU#180876
- National Vulnerability Database (NVD) : CVE-2008-0174
- US-CERT Vulnerability Note : VU#180876
- Secunia Advisory : 1019273
|
|
- [2008年02月07日]
掲載
- [2024年03月01日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
|
