Published: 2024-06-20 09:00
ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月18日、ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。WithSecure KKのChristian Demko氏が報告を行っている。影響を受けるシステムは以下の通り。
・CVE-2024-33620
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
・CVE-2024-33622、CVE-2024-34024
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・パストラバーサル(CVE-2024-33620)
→認証無しでサーバ上の機微な情報を含むファイルを参照される
・不適切な認証(CVE-2024-33622)
→機微な情報を取得されたり、データベース内の情報を改ざんされる
・情報漏えい(CVE-2024-34024)
→認証無しでユーザ名の有無を参照される
JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。なお、FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSについては、2024年6月16日のメンテナンスで修正済みとなっている。
| # | 言葉 | 意味 |
|---|---|---|
| 5 | および | および (及び) : and; as well as |
| 4 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 3 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 以前 | いぜん (以前) : ago; since; before; previous |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 無し | なし (無し) : 1. without 2. unacceptable; not alright; unsatisfactory |
| 2 | 機微 | きび (機微) : 1. subtleties; niceties; fine points; inner workings; secrets 2. subtle; sensitive |
| 2 | 参照 | さんしょう (参照) : reference; bibliographical reference; consultation; browsing (e.g. when selecting a file to upload on a computer); checking out |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 下記 | かき (下記) : the following |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 含む | ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth |
| 1 | 不適切 | ふてきせつ (不適切) : unsuitable; inappropriate; improper |
| 1 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 1 | たり | たり : 1. -ing and -ing (e.g. "coming and going") 2. doing such things as... |
| 1 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 1 | 改ざん | かいざん (改ざん) : alteration; falsification; faking |
| 1 | 情報漏えい | じょうほうろうえい (情報漏洩) : information leak; data breach |
| 1 | 有無 | うむ (有無) : 1. existence or nonexistence; presence or absence 2. consent or refusal; yes or no |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 適用 | てきよう (適用) : applying (e.g. a technology); adoption |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 済み | ずみ (済み) : arranged; taken care of; settled; completed; finished |