公開日:2004/12/17 最終更新日:2005/03/08

JVNVU#305294
ショートカットにSMB認証情報が平文で保存される可能性

概要

SMB ヘアクセスするショートカットを作成した場合、認証情報がショートカット内に平文で保存される可能性があります。
この脆弱性はKDEで確認されています。
また、この問題はKDE以外のアプリケーションやOSにおいても影響を受ける可能性があります。


影響を受けるシステム

  • KDE 3.2.x
  • KDE 3.3.0
  • KDE 3.3.1
  • KDE 3.3.2

詳細情報

想定される影響

パスワードで保護されたSMB共有へのショートカット内に、認証情報が平文で記録される、記録された認証情報を第三者によって読み取られ共有データを使用されてしまう。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本電気 該当製品無し 2005/03/08

参考情報

  1. ISS X-Force Database: kde-smb-password-plaintext (18267)
    KDE SMB share password plain text
  2. US-CERT Vulnerability Note VU#305294
    Shortcuts may insecurely store SMB authentication information

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2004-1171
VU#305294,XF18267
JVN iPedia