JVNDB-2021-002281
|
ThroughTek 製 Kalay P2P SDK におけるアクセス制限不備の脆弱性
|
|
Kalay P2P Software Development Kit (SDK) は、インターネット経由でオーディオストリームやビデオストリームにアクセスするための機能を提供する、ThroughTek 社製の開発キットです。
Kalay P2P Software Development Kit (SDK) には、アクセス制限不備 (CWE-284、CVE-2021-28372) の脆弱性が存在します。
|
|
CVSS v3 による深刻度
基本値: 9.6 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.6 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
Kalay P2P Software Development Kit(SDK)の以下のバージョンが影響を受けます。
|
ThroughTek Co., Ltd.
- P2P Software Development Kit v3.1.5 およびそれ以前
- P2P Software Development Kit nossl タグが付いた SDK バージョン
- P2P Software Development Kit IOTC への接続に AuthKey を使用しないデバイスのファームウェア
- P2P Software Development Kit DTLS を有効にしないで AVAPI モジュールを使用するデバイスのファームウェア
- P2P Software Development Kit P2PTunnel または RDT モジュールを使用するデバイスのファームウェア
|
|
|
遠隔の第三者によって、カメラフィードのような機微な情報にアクセスされたり、任意のコードを実行されたりする可能性があります。
|
|
[アップグレートする]
SDK が v3.1.10 より前の場合、開発者はライブラリを v3.3.1.0 または v3.4.2.0 にアップグレードし、Authkey と DTLS を有効にすることを推奨しています。
[ワークアラウンドを実施する]
SDK が v3.1.10 およびそれ以降の場合、開発者は Authkey と DTLS を有効にすることを推奨しています。
|
|
ThroughTek Co., Ltd.
|
|
- 不適切なアクセス制御(CWE-284) [その他]
|
|
- CVE-2021-28372
|
|
- JVN : JVNVU#92334702
- National Vulnerability Database (NVD) : CVE-2021-28372
- ICS-CERT ADVISORY : ICSA-21-229-01
- 関連文書 : Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices
|
|
|
