公開日:2020/04/20 最終更新日:2020/04/28

JVN#13467854
東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

概要

東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません。

影響を受けるシステム

次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前が対象になります。

  • CANVIO PREMIUM 3TB
    • HD-MB30TY
    • HD-MA30TY
    • HD-MB30TS
    • HD-MA30TS
  • CANVIO PREMIUM 2TB
    • HD-MB20TY
    • HD-MA20TY
    • HD-MB20TS
    • HD-MA20TS
  • CANVIO PREMIUM 1TB
    • HD-MB10TY
    • HD-MA10TY
    • HD-MB10TS
    • HD-MA10TS

  • CANVIO SLIM 1TB
    • HD-SB10TK
    • HD-SB10TS
  • CANVIO SLIM 500GB
    • HD-SB50GK
    • HD-SA50GK
    • HD-SB50GS
    • HD-SA50GS

詳細情報

東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、Windows サービスに登録する実行ファイルパスを引用符で囲んでいません(CWE-428)。

想定される影響

Windows サービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性があります。

対策方法

開発者は、2020年4月28日に本脆弱性を修正した対策版をリリースしています。

パスワードツールをアンインストールする、あるいはアップデートする
開発者が提供する情報をもとに Windows 用パスワードツールをアンインストールする、あるいは継続使用する場合は最新版にアップデートしてください。
アンインストールやアップデートにより、不適切な Windows サービスの登録は削除あるいは修正されます。

アンインストール方法:

  • パスワードを設定している場合は、アンインストール前に必ずパスワードを削除する。
  • パソコンから Windows用パスワードツールのバージョン 1.20.6620 およびそれ以前をアンインストールする。
  • 対象製品およびパソコンから当該ソフトウェアのインストーラも全て削除する。
アップデート方法:
  • 開発者が提供する情報をもとに最新版にアップデートしてください。
詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
東芝デバイス&ストレージ株式会社 該当製品あり 2020/04/20 東芝デバイス&ストレージ株式会社 の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:L/AC:L/Au:N/C:P/I:P/A:P
基本値: 4.6
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-5569
JVN iPedia JVNDB-2020-000025

更新履歴

2020/04/28
【対策方法】を更新しました