【活用ガイド】

[English]

JVNDB-2013-000035

Online Service Gate におけるパスワード管理不備の問題

概要

Online Service Gate には、Office 365 のパスワード管理不備の問題が存在します。

ソフトバンク・テクノロジー株式会社が提供する Online Service Gate は、Office 365 の利用を制限するシステムで、Office 365 のパスワードを一元管理する機能が備わっています。Online Service Gate に含まれる OWA Helper および OSG Lite には、本来管理者しか知ることのできない Office 365 のパスワードを、ユーザ自身が参照できる問題が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

影響を受けるシステム

Online Service Gate (Webブラウザ用) の全てのバージョンに含まれる以下の機能

ソフトバンク・テクノロジー株式会社
  • Online Service Gate OWA Helper (アドイン版)
  • Online Service Gate OSG Lite (ブックマークレット版)

想定される影響

ユーザによって、当該製品で管理している Office 365 のパスワードを取得される可能性があります。結果として、当該製品による制限を回避され、Office 365 を使用される可能性があります。
対策

[アップデートする]
開発者によると、当該製品は、製品使用時にシステム側で自動的にアップデートが適用されるため、ユーザによる手動アップデートは必要ないとのことです。
ベンダ情報

ソフトバンク・テクノロジー株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 情報不足(CWE-noinfo) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-2308
参考情報

  1. JVN : JVN#61972596
  2. National Vulnerability Database (NVD) : CVE-2013-2308
更新履歴

[2013年05月08日]
  掲載