JVNDB-2013-004711
|
HR Systems Strategies の info:HR に認証情報の管理に関する脆弱性
|
|
HR Systems Strategies が提供する info:HR には、認証情報の管理に関する脆弱性が存在します。
HR Systems Strategies が提供する人事管理システムである info:HR は、Microsoft Windows プラットフォームで動作するアプリケーションです。info:HR は、Microsoft SQL Server を使用しており、データベースの認証情報をレジストリに保存しています。
この認証情報は Windows の全てのユーザがアクセス可能な設定となっており、不完全な暗号化をおこなっているため、容易に復号することが可能です。
本脆弱性には、次のような問題が含まれています。
* CWE-314: Cleartext Storage in the Registry
http://cwe.mitre.org/data/definitions/314.html
* CWE-327: Use of a Broken or Risky Cryptographic Algorithm
http://cwe.mitre.org/data/definitions/327.html
|
|
CVSS v2 による深刻度
基本値: 4.1 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
HR Systems Strategies Inc.
|
|
|
当該製品が稼動している Windows システムにログイン可能なユーザによってデータベースのパスワードを復号され、個人情報などを取得される可能性があります。
|
|
[パッチを適用する]
開発者によると、本脆弱性を修正するパッチを 2013年中にリリースする予定とのことです。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\HR Systems\ODBC Setup\USERPW へのアクセスを制限する
|
|
HR Systems Strategies Inc.
|
|
- 暗号の問題(CWE-310) [NVD評価]
|
|
- CVE-2013-5208
|
|
- JVN : JVNVU#93045890
- National Vulnerability Database (NVD) : CVE-2013-5208
- US-CERT Vulnerability Note : VU#829574
|
|
|
