【活用ガイド】

[English]

JVNDB-2020-000025

東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

概要

東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません(CWE-428)。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.4 (重要) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 4.6 (警告) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム

次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前が対象になります。

東芝デバイス&ストレージ株式会社
  • CANVIO PREMIUM 3TB HD-MB30TY
  • CANVIO PREMIUM 3TB HD-MA30TY
  • CANVIO PREMIUM 3TB HD-MB30TS
  • CANVIO PREMIUM 3TB HD-MA30TS
  • CANVIO PREMIUM 2TB HD-MB20TY
  • CANVIO PREMIUM 2TB HD-MA20TY
  • CANVIO PREMIUM 2TB HD-MB20TS
  • CANVIO PREMIUM 2TB HD-MA20TS
  • CANVIO PREMIUM 1TB HD-MB10TY
  • CANVIO PREMIUM 1TB HD-MA10TY
  • CANVIO PREMIUM 1TB HD-MB10TS
  • CANVIO PREMIUM 1TB HD-MA10TS
  • CANVIO SLIM 1TB HD-SB10TK
  • CANVIO SLIM 1TB HD-SB10TS 
  • CANVIO SLIM 500GB HD-SB50GK
  • CANVIO SLIM 500GB HD-SA50GK
  • CANVIO SLIM 500GB HD-SB50GS
  • CANVIO SLIM 500GB HD-SA50GS

想定される影響

Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。
対策

開発者は、2020年4月28日に本脆弱性を修正した対策版をリリースしてい
ます。

[パスワードツールをアンインストールする、あるいはアップデートする]
開発者が提供する情報をもとに Windows 用パスワードツールをアンインストールする、
あるいは継続使用する場合は最新版にアップデートしてください。

アンインストールやアップデートにより、不適切な Windows サービスの登録は削除あるいは修正されます。

アンインストール方法:
・パスワードを設定している場合は、アンインストール前に必ずパスワードを削除する。
・パソコンから Windows用パスワードツールのバージョン 1.20.6620 およびそれ以前をアンインストールする。
・対象製品およびパソコンから当該ソフトウェアのインストーラも全て削除する。

アップデート方法:
・開発者が提供する情報をもとに最新版にアップデートしてください。

詳しくは、開発者が提供する情報をご確認ください。
ベンダ情報

東芝デバイス&ストレージ株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-5569
参考情報

  1. JVN : JVN#13467854
更新履歴

  • [2020年04月20日]
      掲載
  • [2020年04月28日]
      【対策方法】を更新しました。