公開日:2021/06/16 最終更新日:2021/06/16

JVNVU#91747873
ThroughTek 製 P2P SDK に重要な情報の平文での送信の脆弱性

概要

ThroughTek 社が提供する P2P Software Development Kit (SDK) には、重要な情報の平文での送信の脆弱性が存在します。

影響を受けるシステム

P2P Software Development Kit (SDK) の以下のバージョンが影響を受けます。

  • v3.1.5 およびそれ以前
  • nossl タグが付いた SDK のバージョン
  • IOTC への接続に AuthKey を使用していないデバイスのファームウェア
  • DTLS を有効にしないで AVAPI モジュールを使用するデバイスのファームウェア
  • P2PTunnel または RDT モジュールを使用するデバイスのファームウェア

詳細情報

P2P Software Development Kit (SDK) は、インターネット経由でオーディオストリームやビデオストリームにアクセスするための機能を提供する ThroughTek 社製の開発キットです。当該 SDK には、それが組み込まれたデバイスと同社のサーバ間で転送されるデータが十分に保護されない、重要な情報の平文での送信 (CWE-319、CVE-2021-32934) の脆弱性が存在します。

想定される影響

遠隔の第三者によって、カメラ映像などの機微な情報にアクセスされる可能性があります。

対策方法

アップグレートする
SDK が v3.1.10 より前の場合、開発者はライブラリを v3.3.1.0 または v3.4.2.0 にアップグレードし、Authkey と DTLS を有効にすることを推奨しています。

ワークアラウンドを実施する
SDK が v3.1.10 およびそれ以降の場合、開発者は Authkey と DTLS を有効にすることを推奨しています。

ベンダ情報

ベンダ リンク
ThroughTek ThroughTek’s advisory

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
基本値: 9.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia