公開日:2016/03/31 最終更新日:2016/03/31
JVNVU#91828421
Eaglesoft (Patterson Dental) でパスワードがハードコードされている問題
Patterson Dental Supply, Inc. が提供する Eaglesoft (Patterson Dental) は、歯科医向けの情報管理ソフトウェアです。Eaglesoft には、データベースのパスワードがハードコードされています。
- Eaglesoft
認証情報がハードコードされている問題 (CWE-798) - CVE-2016-2343
研究者によると、Eaglesoft にはバックエンドのデータベースの認証情報がハードコードされています。この認証情報はすべての Eaglesoft で共通です。Eaglesoft のデータベースには、患者に関する機微な情報が保存されています。この認証情報を変更すると、データベースへアクセスできなくなります。
研究者はさらに詳しい情報をブログポストで公開しています。
ハードコードされているパスワードを知る攻撃者が当該製品のデータベースにアクセスすることで、患者の機微な情報が取得される可能性があります。
2016年3月31日現在、有効な対策方法は不明です。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- アクセスを制限する
ベンダ | リンク |
Patterson Dental Supply, Inc. | Dental Software – Eaglesoft – Dental Practice Management and Imaging Software |
-
CERT/CC Vulnerability Note VU#344432
Patterson Dental Eaglesoft uses a hard-coded database password across installations -
Justin Shafer Dental Blog
Moving onto Eaglesoft aka Patterson Dental -
Justin Shafer Dental Blog
Eaglesoft 18 Security
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値:
9.8
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値:
10.0
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2016-2343 |
JVN iPedia |
|