【活用ガイド】

[English]

JVNDB-2007-000559

弥生会計における認証情報の扱いに関する脆弱性

概要

弥生会計のクイックナビゲータ機能には、ユーザの認証に使われる情報が暗号化されずに送信される問題が存在します。

弥生会計のクイックナビゲータ機能では、弥生株式会社が提供するサーバにログインすることがあります。ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザのログインに利用される「お客様番号」と「電話番号」が漏えいする可能性があります。

CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


弥生株式会社
  • 弥生会計 05  やよいの青色申告05各製品
  • 弥生会計 06  やよいの青色申告06各製品(R2を含む)
  • 弥生会計 07  やよいの青色申告07各製品(R2を除く)
  • 弥生販売 06  各製品
  • 弥生販売 07  各製品(製品バージョン10.0.1のみ)

想定される影響

弥生株式会社が提供するサーバとユーザとの間のネットワークを盗聴されるなどすると「お客様番号」と「電話番号」が攻撃者に漏えいする可能性があります。「お客様番号」と「電話番号」は、弥生株式会社が提供するサーバにログインするために利用されるため、攻撃者がユーザになりすましてログインする可能性があります。
対策

ユーザと弥生株式会社サーバ間の通信をSSL化したアップデート版が公開されています。当該製品のユーザはアップデート版に移行することを推奨します。

クイックナビゲータ機能を利用しない。

詳しくは開発者が提供する情報をご覧ください。
ベンダ情報

弥生株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#43615794
  2. IPA セキュリティセンター : JVN_43615794
更新履歴

  • [2007年08月08日]
      掲載

公表日2007/07/31
登録日2007/08/08
最終更新日2007/08/08