公開日:2013/10/16 最終更新日:2013/10/16

JVNVU#93045890
HR Systems Strategies の info:HR に認証情報の管理に関する脆弱性

概要

HR Systems Strategies が提供する info:HR には、認証情報の管理に関する脆弱性が存在します。

影響を受けるシステム

  • info:HR 7.9 およびそれ以前

詳細情報

HR Systems Strategies が提供する人事管理システムである info:HR は、Microsoft Windows プラットフォームで動作するアプリケーションです。info:HR は、Microsoft SQL Server を使用しており、データベースの認証情報をレジストリに保存しています。
この認証情報は Windows の全てのユーザがアクセス可能な設定となっており、不完全な暗号化をおこなっているため、
容易に復号することが可能です。

本脆弱性には、次のような問題が含まれています。

  • CWE-314: Cleartext Storage in the Registry
  • CWE-327: Use of a Broken or Risky Cryptographic Algorithm

想定される影響

当該製品が稼動している Windows システムにログイン可能なユーザによってデータベースのパスワードを復号され、個人情報などを取得される可能性があります。

対策方法

パッチを適用する
開発者によると、本脆弱性を修正するパッチを 2013年中にリリースする予定とのことです。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • レジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\HR Systems\ODBC Setup\USERPW へのアクセスを制限する

ベンダ情報

ベンダ リンク
HR Systems Strategies Inc. HRIS Software Canada / US

参考情報

  1. CERT/CC Vulnerability Note VU#829574
    HR Systems Strategies info:HR HRIS allows read access to weakly obfuscated shared database password

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2013.10.16における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 シェルからのシステムログインやリモートデスクトップなどから攻撃が可能
  • 低 - 中
認証レベル システムに正規登録されている一般ユーザのアカウントが必要
  • 低 - 中
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-5208
JVN iPedia