JVNVU#91587298
MaLion における複数の脆弱性

株式会社インターコムが提供する MaLion には、複数の脆弱性が存在します。

影響を受けるバージョンやその使用条件は、各脆弱性により異なります。
詳しくは、開発者が提供する情報をご確認ください

　・CVE-2017-10815
　　Windows 版 MaLion 5.2.1 以前のバージョン (リモートコントロールをインストールしている場合)
　　Mac版 MaLion 4.0.1 から 5.2.1 まで (リモートコントロールをインストールしている場合)

　・CVE-2017-10816, CVE-2017-10817
　　Windows 版 および Mac版 MaLion 5.0.0 から 5.2.1 まで

　・CVE-2017-10818
　　Windows 版 および Mac版 MaLion 3.2.1 から 5.2.1 まで

　・CVE-2017-10819
　　Mac 版 MaLion 4.3.0 から 5.2.1 まで

株式会社インターコムが提供する MaLion は、IT 資産管理用ソフトウェアです。MaLion には、次の複数の脆弱性が存在します。

• 端末エージェントに認証不備の脆弱性 (CWE-863) - CVE-2017-10815

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	基本値: 9.8
  CVSS v2	AV:N/AC:L/Au:N/C:C/I:C/A:C	基本値: 10.0

• 中継サービスサーバに SQL インジェクションの脆弱性 (CWE-89) - CVE-2017-10816

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	基本値: 9.8
  CVSS v2	AV:N/AC:L/Au:N/C:C/I:C/A:C	基本値: 10.0

• 中継サービスサーバに認証不備の脆弱性 (CWE-862) - CVE-2017-10817

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N	基本値: 9.8
  CVSS v2	AV:N/AC:L/Au:N/C:C/I:C/A:C	基本値: 10.0

• 通信の暗号化に使われる鍵がハードコードされている問題 (CWE-321) - CVE-2017-10818

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N	基本値: 4.8
  CVSS v2	AV:N/AC:M/Au:N/C:P/I:P/A:N	基本値: 5.8

• 端末エージェントにサーバ証明書検証不備の脆弱性 (CWE-295) - CVE-2017-10819

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N	基本値: 4.8
  CVSS v2	AV:N/AC:H/Au:N/C:P/I:P/A:N	基本値: 4.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、端末エージェント上で任意のコマンドや任意の操作を実行される - CVE-2017-10815
• 遠隔の第三者によって、中継サービスサーバ上で任意の SQL 文を実行されたり、設定を変更されたりする - CVE-2017-10816, CVE-2017-10817
• 暗号化に使用する鍵を取得し中継サービスに成りすました第三者によって、エージェントの接続設定を書き換えられる - CVE-2017-10818
• 中間者攻撃 (man-in-the-middle attack) によって、暗号通信の盗聴などが行なわれる - CVE-2017-10819

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。