公開日:2024/09/30 最終更新日:2024/09/30
JVNVU#91112197
複数のgoTenna製品における複数の脆弱性
goTennaが提供する複数の製品には、複数の脆弱性が存在します。
CVE-2024-47121、CVE-2024-47122、CVE-2024-47123、CVE-2024-47124、CVE-2024-47125、CVE-2024-47126、CVE-2024-47127、CVE-2024-47128、CVE-2024-47129、CVE-2024-47130
- goTenna Pro App バージョン1.6.1およびそれ以前
- goTenna Pro ATAK Plugin バージョン1.9.12およびそれ以前
goTennaが提供する複数の製品には、次の複数の脆弱性が存在します。
- 不十分なパスワード強度(CWE-521)-CVE-2024-47121、CVE-2024-45374
- 重要な情報のセキュアでない格納(CWE-922)-CVE-2024-47122、CVE-2024-43694
- 完全性チェックの欠如(CWE-353)-CVE-2024-47123、CVE-2024-43108
- 重要な情報の平文送信(CWE-319)-CVE-2024-47124、CVE-2024-45838
- エンドポイントの不適切な制限(CWE-923)-CVE-2024-47125
- 暗号論的強度が不十分なPRNGの使用(CWE-338)-CVE-2024-47126、CVE-2024-45723
- 弱い認証(CWE-1390)-CVE-2024-47127、CVE-2024-41722
- 送信データへの機微な不要情報の挿入(CWE-201)-CVE-2024-47128、CVE-2024-41931、CVE-2024-43814
- リクエストへの応答の違いに起因する情報漏えい(CWE-204)-CVE-2024-47129、CVE-2024-41715
- 重要な機能に対する認証の欠如(CWE-306)-CVE-2024-47130
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 暗号化して送信されたブロードキャストメッセージを復号化される(CVE-2024-47121、CVE-2024-45374)
- 暗号化された通信を復号化される(CVE-2024-47122、CVE-2024-43694)
- メッセージを改ざんされる(CVE-2024-47123、CVE-2024-43108)
- ユーザ情報が漏えいする(CVE-2024-47124、CVE-2024-45838)
- 認証されていない攻撃者によって、メッセージを傍受されたり操作されたりする(CVE-2024-47125)
- 使用されているランダム関数が暗号化の使用に適さない(CVE-2024-47126、CVE-2024-45723)
- 任意のGIDおよびコールサインを持つカスタムメッセージを挿入される(CVE-2024-47127、CVE-2024-41722)
- ブロードキャストキー名を取得される(CVE-2024-47128、CVE-2024-41931)
- ペイロードの長さを取得される(CVE-2024-47129、CVE-2024-41715)
- 遠隔の認証されていない攻撃者によって、ローカルの公開鍵を更新される(CVE-2024-47130)
- 位置情報を取得される(CVE-2024-43814)
アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。
詳細は、開発者が提供する情報を確認してください。
ベンダ | リンク |
goTenna | goTenna | The World’s Leading Mobile Mesh Networking Company |
-
ICS Advisory | ICSA-24-270-04
goTenna Pro X and Pro X2 -
ICS Advisory | ICSA-24-270-05
goTenna Pro ATAK Plugin