JVNDB-2013-002947
|
c-treeACE の難読化アルゴリズムに脆弱性
|
|
FairCom が提供する c-treeACE には、脆弱な難読化アルゴリズムを使用しているため、鍵やパスワードの情報がなくても、もとの情報を復元される問題が存在します。
問題のアルゴリズムは、過去には FairCom Standard Encryption と呼ばれており、現在では Data Camouflage と呼ばれています。
Data Camouflage アルゴリズム (旧名称 FairCom Standard Encryption) を使用して難読化された c-treeACE のデータベースを取得可能な攻撃者は、データベースの .fcs ファイルを、トライアル版のデフォルトの .fcs ファイルで置き換えることで、デフォルトの認証情報 (ADMIN/ADMIN) でデータベースにアクセスし、データベースの情報を閲覧することができます。
|
|
CVSS v2 による深刻度
基本値: 7.1 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
FairCom
|
|
|
c-treeACE のデータベースを取得可能な攻撃者によって、データベースの情報を閲覧される可能性があります。
|
|
[Advanced File Encryption を使用する]
データベースの情報の機密性を確保したい場合は、Advanced File Encryption を使用してください。
Advanced File Encryption では、AES などの標準的な暗号化アルゴリズムを使用することが可能です。
|
|
FairCom
|
|
- 暗号の問題(CWE-310) [NVD評価]
|
|
- CVE-2013-0148
|
|
- JVN : JVNVU#95176702
- National Vulnerability Database (NVD) : CVE-2013-0148
- US-CERT Vulnerability Note : VU#900031
|
|
- [2013年06月12日]
掲載
[2013年06月19日]
CVSS による深刻度:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2013-0148) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
|
