JVNDB-2017-004256
|
Acronis True Image に更新がセキュアに行われない脆弱性
|
|
Acronis True Image は更新の確認や更新データの取得がセキュアに行われていません。結果として管理者権限で任意のコードが実行される可能性があります。
Acronis True Image は Windows および Mac システム用の ディスクバックアップユーティリティです。Acronis True Image 2017 (ビルド番号 8053) およびそれ以前のバージョンでは、更新の確認や更新データの取得を HTTP 経由で行っています。ダウンロードされたアップデートファイルは、サーバから提供される MD5 ハッシュ値による検証が行われますが、それ以上の検証は行われません。
|
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 8.3 (危険) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
Acronis International GmbH
- True Image 2017 (ビルド番号 8053) およびそれ以前
|
|
|
中間者 (man-in-the-middle) 攻撃により、管理者権限で任意のコードを実行される可能性があります。
|
|
2017年6月20日現在、対策方法は不明です。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
* 当該製品のアップデート機能を使わずに、手動で更新データを取得してアップデートを行う
|
|
Acronis International GmbH
|
|
|
|
- CVE-2017-3219
|
|
- JVN : JVNVU#93495727
- National Vulnerability Database (NVD) : CVE-2017-3219
- US-CERT Vulnerability Note : VU#489392
|
|
- [2017年06月21日]
掲載
[2018年01月24日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3219) を追加
|
