公開日:2017/07/24 最終更新日:2017/07/24

JVNVU#92446116
Inmarsat AmosConnect 8 ソフトウエアに複数の脆弱性

概要

Inmarsat AmosConnect 8 ソフトウエアには、SQL インジェクションおよび認証情報がハードコードされている脆弱性が存在します。

影響を受けるシステム

次のバージョンの Inmarsat AmosConnect 8 ソフトウエアが影響を受けると報告されています。

  • 8.0、8.0.1、8.0.2 (2010年6月17日リリース)
  • 8.2.0 (2011年2月11日リリース)
  • 8.2.1 (2011年6月9日リリース)
  • 8.2.2 (2011年9月13日リリース)
  • 8.3.0、8.3.1 (2012年1月23日リリース)
  • 8.4.0 (2013年11月20日リリース)
  • 8.4.0.1 (2013年11月20日リリース)

詳細情報

Inmarsat Solutions が提供する Inmarsat AmosConnect 8 (AC8) は、衛星ネットワークを使用して船舶向けメールサービスを提供するソフトウエアです。Inmarsat AmosConnect 8 には、次の複数の脆弱性が存在します。

ログインフォームにブラインド SQL インジェクション (CWE-89) - CVE-2017-3221
ログインフォームに入力されたデータの処理に起因するブラインド SQL インジェクションの脆弱性が存在します。

認証情報がハードコードされている (CWE-798) - CVE-2017-3222
SYSTEM 権限を持ったアカウントが存在し、船内ネットワークを通じてアクセス可能な第三者が任意のコマンドを実行可能です。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 内部データベースに保存されているユーザ名やパスワードなどの情報を取得される - CVE-2017-3221
  • 内部データベースに保存されている情報にアクセスされたり、任意のコマンドを実行されたりする - CVE-2017-3222

対策方法

2017年7月現在、Inmarsat AmosConnect 8 ソフトウエアのサポートは終了しています。詳細については、カスタマーサービスにお問い合わせください。

ベンダ情報

ベンダ リンク
Inmarsat plc. Home - Inmarsat

参考情報

  1. CERT/CC Vulnerability Note VU#586501
    Inmarsat AmosConnect8 Mail Client Vulnerable to SQL Injection and Backdoor Account

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3221
CVE-2017-3222
JVN iPedia