公開日:2011/01/24 最終更新日:2011/03/28

JVNVU#547167
CollabNet ScrumWorks Basic Server における認証情報取り扱いに関する問題

概要

CollabNet ScrumWorks Basic Server と CollabNet ScrumWorks Desktop Client の間では、認証情報が平文で通信されています。

影響を受けるシステム

  • CollabNet ScrumWorks Basic

詳細情報

CollabNet ScrumWorks Basic は、CollabNet が提供するプロジェクト管理ツールです。CollabNet ScrumWorks Basic Server と CollabNet ScrumWorks Desktop Client の間では、認証情報が平文で通信されています。

CollabNet ScrumWorks Basic Server は CollabNet ScrumWorks Desktop Client と通信する際、暗号化されていない Java オブジェクトを使用します。この Java オブジェクトには、CollabNet ScrumWorks Basic Server の認証情報が含まれています。

また、CollabNet ScrumWorks Basic Server では、認証情報が平文で内部データベースに格納されています。

想定される影響

製品にアクセス可能または通信を傍受可能な第三者によって、認証情報を閲覧される可能性があります。

対策方法

CollabNet ScrumWorks Proを使用する
CollabNet によると、CollabNet ScrumWorks Basic に暗号化機能を新たに追加する予定はありません。機密情報を取り扱う際は、CollabNet ScrumWorks Pro の使用が推奨されています。

ワークアラウンドを実施する
CollabNet ScrumWorks へのアクセス制限と通信内容の暗号化により、本問題の影響を軽減することが可能です。

ベンダ情報

ベンダ リンク
CollabNet Scrum Tools - ScrumWorks Pro & ScrumWorks Basic

参考情報

  1. US-CERT Vulnerability Note VU#547167
    CollabNet ScrumWorks Basic Server transmits credential information in plaintext

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0410
JVN iPedia JVNDB-2011-001100

更新履歴

2011/03/28
関連文書に JVN iPedia へのリンクを追加しました。