公開日:2019/12/20 最終更新日:2019/12/20

JVNVU#92353788
Telos 製 Automated Message Handling System に複数の脆弱性

概要

Telos 製 Automated Message Handling System (AMHS) には複数の脆弱性が存在します。

影響を受けるシステム

  • AMHS version 4.1.5.5 より前のバージョン

詳細情報

Telos が提供する AMHS は、DoD および Intelligence Community (IC) のセキュリティマーキング要求をサポートするウェブベースのメッセージングシステムです。
AMHS には複数のクロスサイトスクリプティングの脆弱性 (CWE-79) が存在します。また、AMHS 上のユーザの情報へのアクセスを適切に制限できないため、他のユーザの情報にアクセスされる可能性があります。

想定される影響

ユーザのウェブブラウザ上で、任意のスクリプトを実行されたり、データベースの情報が漏えいする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は脆弱性の対策として、次のバージョンをリリースしています。

  • AMHS version 4.1.5.5

ベンダ情報

ベンダ リンク
Telos Corporation Secure messaging with Telos Automated Message Handling System
Telos Automated Message Handling System (AMHS) Standard Maintenance Agreement

参考情報

  1. CERT/CC Vulnerability Note VU#873161
    Telos Automated Message Handling System contains multiple vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia