公開日:2010/08/03 最終更新日:2011/09/16

JVNVU#840249
Wind River Systems VxWorks の認証 API (loginLib) における問題

概要

VxWorks の認証 API (loginLib) で使用されているハッシュ関数には、衝突耐性の不備が存在します。

影響を受けるシステム

  • VxWorks

詳細情報

VxWorks の認証 API (loginLib) で使用されているハッシュ関数には、衝突耐性の不備が存在します。正規のパスワードと同一のハッシュ値が算出される文字列を見つけることが比較的容易です。

想定される影響

攻撃者によって、認証 API (loginLib) を使用しているサービスへアクセスされる可能性があります。

対策方法

使用するハッシュ関数を置き換える
認証 API (loginLib) で使用されているデフォルトのハッシュ関数 (loginDefaultEncrypt()) の使用を停止し、より安全なハッシュ関数を使用してください。loginEncryptInstall() を使用することで、新たな暗号アルゴリズムを追加することが可能です。

詳しくは Wind River Systems が提供する情報および VU#840249 をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2010/08/09
パナソニック株式会社 該当製品無し 2010/09/03
日本電気株式会社 該当製品無し(調査中) 2010/08/10
日立 該当製品無し 2011/09/16
株式会社リコー 該当製品無し 2010/08/17
横河電機株式会社 該当製品無し(調査中) 2010/08/03
ベンダ リンク
Wind River Systems, Inc. Wind River Systems, Inc. Information for VU#840249

参考情報

  1. US-CERT Vulnerability Note VU#840249
    Wind River Systems VxWorks weak default hashing algorithm in standard authentication API (loginLib)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2010-001882

更新履歴

2010/08/05
パナソニック株式会社のベンダステータスが更新されました
2010/08/09
アライドテレシス株式会社のベンダステータスが更新されました
2010/08/11
日本電気株式会社のベンダステータスが更新されました
2010/08/17
株式会社リコーのベンダステータスが更新されました
2010/09/03
パナソニック株式会社のベンダステータスが更新されました
2010/11/05
関連文書に JVN iPedia へのリンクを追加しました。
2011/09/16
[ベンダ情報]の株式会社 日立製作所の名称を日立に変更しました