JVNDB-2008-001731
|
InstallShield および FLEXnet Connect の通信処理の問題によるスクリプト実行の脆弱性
|
|
Acresso Software が提供する InstallShield および FLEXnet Connect には、ソフトウェアの更新確認などの通信処理に問題があります。結果として遠隔の第三者に任意のスクリプトを実行される可能性があります。
Acresso Software が提供する InstallShield および FLEXnet Connect は、ソフトウェアのインストールやアップデートのサポートをするソフトウェアです。InstallShield および FLEXnet Connect には、ソフトウェアの更新確認などの通信処理に問題があります。結果として遠隔の第三者に任意のスクリプトを実行される可能性があります。
InstallShield や FLEXnet Connect の開発は現在 Acresso Software が行っています。
|
|
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
アクレッソ ソフトウェア
|
|
|
遠隔の第三者に任意のスクリプトを実行される可能性があります。
|
|
[解決策]
[アップデートする]
FLEXnet Connect を最新版へアップデートしてください。
VU#837092 によると、FLEXnet Connect 11.0.1 client (agent.exe version 11.1.100.17104) にて問題が修正されたとのことです。
ただし、デフォルトの設定では問題を解決するための機能が有効になっていないため注意が必要です。
[回避策]
kill bit を設定して ActiveX コントロールを無効にする、スクリプトを無効にするなどの方法があります。
|
|
|
|
- コード・インジェクション(CWE-94) [NVD評価]
|
|
- CVE-2008-1093
|
|
- JVN : JVNVU#837092
- National Vulnerability Database (NVD) : CVE-2008-1093
- US-CERT Vulnerability Note : VU#837092
- Secunia Advisory : SA31896
- SecurityFocus : 31204
- SecurityTracker : 1020893
- FrSIRT Advisories : FrSIRT/ADV-2008-2613
|
|
|
