公開日:2023/03/01 最終更新日:2023/03/09
JVN#57224029
IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性
株式会社ディー・オー・エスが提供する「SS1」および「らくらくPCクラウド」には、複数の脆弱性が存在します。
- SS1 Ver.13.1.0.40 およびそれ以前(メディアバージョン:13.1.0c およびそれ以前)
- らくらくPCクラウド エージェント Ver.2.1.8 およびそれ以前
株式会社ディー・オー・エスが提供する「SS1」は IT 資産管理ソフト、「らくらくPCクラウド」はクラウド型 PC 資産管理サービスです。「SS1」および「らくらくPCクラウド」のエージェントには、次の複数の脆弱性が存在します。
- 不適切なアクセス制御 (CWE-284) - CVE-2023-22335
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5 CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:N 基本値: 5.0 - パストラバーサル (CWE-22) - CVE-2023-22336
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値: 5.3 CVSS v2 AV:N/AC:L/Au:N/C:N/I:P/A:N 基本値: 5.0 - ハードコードされたパスワードの使用 (CWE-798) - CVE-2023-22344
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:N 基本値: 5.0
想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。
- 当該製品が動作するディレクトリ内の任意のファイルをダウンロードされる - CVE-2023-22335
- 細工されたファイルを任意のディレクトリにアップロードされる - CVE-2023-22336
- デバッグツールのパスワードを窃取され、デバッグツールを実行される - CVE-2023-22344
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者によると、「らくらくPCクラウド」のエージェントは、端末起動時に自動的にパッチが適用されるとのことです。
| ベンダ | リンク |
| 株式会社ディー・オー・エス | 弊社製品「SS1」「らくらくPCクラウド」の脆弱性に関するお知らせ |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: GMOサイバーセキュリティ byイエラエ デニス ファウストヴ 氏、ルスラン サイフィエフ 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2023-22335 |
|
CVE-2023-22336 |
|
|
CVE-2023-22344 |
|
| JVN iPedia |
JVNDB-2023-000021 |
- 2023/03/09
- [影響を受けるシステム] を更新しました
