公開日:2014/04/22 最終更新日:2014/04/22
JVNVU#93141759
Toshiba 4690 Operating System に脆弱性
Toshiba 4690 Operating System のハッシュアルゴリズムには、脆弱性が存在します。
- Toshiba 4690 Operating System
Toshiba 4690 Operating System には、脆弱なハッシュアルゴリズム ADXCRYPT を使用している問題 (CWE-328) が存在します。
ADXCSOUF.DAT を取得した攻撃者によって、既知平文攻撃やハッシュの衝突を使用され、パスワードを取得される可能性があります。
"Enhanced Security" を有効にする
Toshiba 4690 Operating System version V5R1 から、SHA1 アルゴリズムを採用した "Enhanced Security" を選択することが可能です。
詳しくは Planning, Installation, and Configuration Guide の 140ページからの説明をご確認ください。
認証に LDAP サーバを使用する
Toshiba 4690 Operating System version V6R3 から、認証に LDAP サーバの使用を選択することが可能です。
詳しくは Planning, Installation, and Configuration Guide の 23ページからの説明をご確認ください。
| ベンダ | リンク |
| IBM | Security Bulletin: ADXCRYPT |
| TOSHIBA Global Commerce Solutions, Inc. | Toshiba 4690 Operating System |
-
CERT/CC Vulnerability Note VU#622950
Toshiba Global Commerce Solutions' 4690 Point of Sale operating system contains a password hashing algorithm that can be reversed
2014.04.22における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | 物理アクセスやローカル環境から攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に何らかの条件が必要 |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 単一の認証が必要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 一部の情報が漏えいする |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが部分的に損なわれる |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用は阻害されない |
Base Score:3.0
