JVNVU#92446116
Inmarsat AmosConnect 8 ソフトウエアに複数の脆弱性

Inmarsat AmosConnect 8 ソフトウエアには、SQL インジェクションおよび認証情報がハードコードされている脆弱性が存在します。

次のバージョンの Inmarsat AmosConnect 8 ソフトウエアが影響を受けると報告されています。

• 8.0、8.0.1、8.0.2 (2010年6月17日リリース)
• 8.2.0 (2011年2月11日リリース)
• 8.2.1 (2011年6月9日リリース)
• 8.2.2 (2011年9月13日リリース)
• 8.3.0、8.3.1 (2012年1月23日リリース)
• 8.4.0 (2013年11月20日リリース)
• 8.4.0.1 (2013年11月20日リリース)

Inmarsat Solutions が提供する Inmarsat AmosConnect 8 (AC8) は、衛星ネットワークを使用して船舶向けメールサービスを提供するソフトウエアです。Inmarsat AmosConnect 8 には、次の複数の脆弱性が存在します。

ログインフォームにブラインド SQL インジェクション (CWE-89) - CVE-2017-3221
ログインフォームに入力されたデータの処理に起因するブラインド SQL インジェクションの脆弱性が存在します。

認証情報がハードコードされている (CWE-798) - CVE-2017-3222
SYSTEM 権限を持ったアカウントが存在し、船内ネットワークを通じてアクセス可能な第三者が任意のコマンドを実行可能です。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 内部データベースに保存されているユーザ名やパスワードなどの情報を取得される - CVE-2017-3221
• 内部データベースに保存されている情報にアクセスされたり、任意のコマンドを実行されたりする - CVE-2017-3222

2017年7月現在、Inmarsat AmosConnect 8 ソフトウエアのサポートは終了しています。詳細については、カスタマーサービスにお問い合わせください。