JVNDB-2010-001882

JVNDB-2010-001882
Wind River Systems VxWorks の認証 API (loginLib) における問題
概要
VxWorks の認証 API (loginLib) で使用されているハッシュ関数には、衝突耐性の不備が存在します。正規のパスワードと同一のハッシュ値が算出される文字列を見つけることが比較的容易です。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

ウインドリバー株式会社 VxWorks

想定される影響
攻撃者によって、認証 API (loginLib) を使用しているサービスへアクセスされる可能性があります。
対策
[使用するハッシュ関数を置き換える] 認証 API (loginLib) で使用されているデフォルトのハッシュ関数 (loginDefaultEncrypt()) の使用を停止し、より安全なハッシュ関数を使用してください。loginEncryptInstall() を使用することで、新たな暗号アルゴリズムを追加することが可能です。詳しくは Wind River Systems が提供する情報および VU#840249 をご確認ください。
ベンダ情報
ウインドリバー株式会社 Wind River Support : Top Page
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?

参考情報
JVN : JVNVU#840249 US-CERT Vulnerability Note : VU#840249 US-CERT Vulnerability Note : MAPG-863QH9
更新履歴
[2010年08月26日] 掲載

Wind River Systems VxWorks の認証 API (loginLib) における問題