【活用ガイド】

JVNDB-2015-003167

Retrospect Backup Client が弱いパスワードハッシュを使用する問題

概要

Retrospect Backup Client はネットワーク経由でバックアップを行うためのソフトウェアです。このソフトウェアは、パスワードをハッシュ化された形式で保存しますが、ハッシュの衝突が起こりやすい弱い形式を使用しています。そのため攻撃者は、ハッシュ値の衝突を悪用し、攻撃対象であるクライアントのバックアップファイルにアクセスすることが可能です。

強度が不十分なパスワードハッシュの使用 (CWE-916) - 2015-2864
Retrospect Backup Client には、パスワードハッシュの生成アルゴリズムに問題があります。ハッシュの生成時にパスワードを完全に使用ないため、高い確率で他のパスワードと衝突する弱いハッシュ値を生成します。Retrospect Backup Client が動作するマシンにネットワーク経由でアクセスできる攻撃者は、最大でも 128回の試行でハッシュ値の衝突を起こすパスワードを生成することができます。この問題を発見したセキュリティ研究者 Josep Pi Rodriguez と Pedro Guillen Nunez による攻撃のデモンストレーションが YouTube に公開されています。

CWE-916: Use of Password Hash With Insufficient Computational Effort
https://cwe.mitre.org/data/definitions/916.html

攻撃のデモンストレーション
https://www.youtube.com/watch?v=MB8AL5u7JCA

パスワード認証を使用するクライアントのみが脆弱性の影響を受けます。公開鍵認証を使用しているクライアントは影響を受けません。開発者は、公開鍵認証を使用することを推奨しています。脆弱性の詳細や公開鍵認証の設定方法については、開発者のアドバイザリを参照してください。

アドバイザリ
http://www.retrospect.com/support/kb/cve_2015_2864
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


Retrospect, Inc.
  • Retrospect 10.0.2 (Windows)
  • Retrospect 12.0.2 (Macintosh)
  • Retrospect Client 10.0.2 (Windows/Linux)
  • Retrospect Client 12.0.2 (Macintosh)

想定される影響

Retrospect Backup clients にアクセス可能な第三者によって、正しいパスワードと同一のハッシュ値となる文字列を総当たり攻撃によって推測される可能性があります。その結果、ユーザのバックアップデータにアクセスされる可能性があります。
対策

[アップデートする]
パスワード認証メカニズムの使用を継続するユーザに向けて、本脆弱性を修正するアップデートがリリースされています。

Windows 版ユーザは Retrospect Backup Client 10.0.2.119 およびそれ以降のバージョンを使用してください。
Macintosh 版ユーザは Retrospect Backup Client 12.0.2.116 およびそれ以降のバージョン使用してください。
Linux 版ユーザは Retrospect Backup Client 10.0.2.104 およびそれ以降のバージョンを使用してください。

また、次のワークアラウンドの実施も推奨されています。

[公開鍵認証の使用に切り替える]
公開鍵認証を使用する場合、本脆弱性の影響を受けません。開発者はアドバイザリで、パスワード認証より公開鍵認証を使うよう呼びかけています。

アドバイザリ
http://www.retrospect.com/support/kb/cve_2015_2864
ベンダ情報

Retrospect, Inc.
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-2864
参考情報

  1. JVN : JVNVU#99598689
  2. National Vulnerability Database (NVD) : CVE-2015-2864
  3. US-CERT Vulnerability Note : VU#101500
更新履歴

  • [2015年06月18日]
      掲載
    [2015年10月05日]
      影響を受けるシステム:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2015-2864) を追加
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:CWE-ID を追加

公表日2015/06/15
登録日2015/06/18
最終更新日2015/10/05