公開日:2017/10/16 最終更新日:2017/10/16

JVNVU#91625548
AssetView および AssetView PLATINUM に複数の脆弱性

概要

株式会社ハンモックが提供する AssetView および AssetView PLATINUM には、複数の脆弱性が存在します。

影響を受けるシステム

  • AssetView Ver.7.0.0 から Ver. 9.2.3 まで
  • AssetView PLATINUM Ver. 1.1.0 から 6.2.2 まで
詳しくは、開発者が提供する情報をご確認ください。

詳細情報

株式会社ハンモックが提供する AssetView および AssetView PLATINUM には、次の2件の脆弱性が存在します。

  • ハードコードされた暗号化鍵を使用している問題 (CWE-321) - CVE-2017-10866
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 8.8
    CVSS v2 AV:L/AC:L/Au:S/C:C/I:C/A:C 基本値: 6.8
  • 入力値検査不備 (CWE-20) - CVE-2017-10867
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 7.8
    CVSS v2  AV:L/AC:H/Au:S/C:C/I:C/A:C 基本値: 6.0

想定される影響

  • リモートコントロール機能を有効にしている環境において、システムで使われている暗号化鍵を知っているユーザにより、任意のクライアント端末に対し任意の操作が行われる - CVE-2017-10866
  • クライアント端末上で、サーバに送信される前に一時保存される情報を改ざんされ、AssetView サーバや AssetView PLATINUM サーバのデータベースに対し任意の SQL 文を実行される - CVE-2017-10867

対策方法

アップデートする
開発者が提供する情報をもとに最新版にアップデートしてください。

パッチを適用する
アップデートが困難な場合は、セキュリティ対策パッチ「AssetView 暗号モジュール Hotfix」を適用してください。

詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
株式会社ハンモック JVNVU#91625548: AssetView 暗号モジュールに2件の脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社リクルートテクノロジーズ RECRUIT RED TEAM 西村宗晃 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-10866
CVE-2017-10867
JVN iPedia