公開日:2015/03/23 最終更新日:2015/03/23

JVNVU#93435107
NSIS Inetc プラグインに SSL サーバ証明書の検証不備の脆弱性

概要

NSIS インストーラの Inetc プラグインには、SSL サーバ証明書の検証不備の脆弱性が存在します。このプラグインを使用するインストーラは、HTTPS スプーフィングの影響を受ける可能性があります。

影響を受けるシステム

  • NSIS Inetc プラグイン

詳細情報

Inetc はインターネットからのファイルダウンロード機能を提供する NSIS インストーラ用プラグインです。Inetc は HTTPS プロトコルをサポートしていますが、SSL サーバ証明書チェーンを検証していません。

想定される影響

攻撃者によって HTTPS 通信の内容をスプーフィングされる可能性があります。脆弱性の影響は、HTTPS 通信によってダウンロードされるデータを使用してインストーラが行う処理の内容により異なりますが、最悪の場合、昇格された権限で任意のコードを実行される可能性があります。

対策方法

2015年3月23日現在、開発者から脆弱性の修正は提供されていません。以下のワークアラウンドの適用を検討してください。

ソフトウェアのインストールは信頼できるネットワークに接続している時だけ行う
Inetc プラグインは SSL 証明書の検証を行わないため、信頼できないネットワークに接続時、あるいは信頼できないユーザがネットワーク上に存在する場合には、NSIS ベースのソフトウェアインストーラの使用を避けることが推奨されます。

ベンダ情報

ベンダ リンク
CERT/CC CERT/CC Information for VU#894897
Nullsoft Inetc plug-in
Nullsoft Information for VU#894897
Dropbox Dropbox Information for VU#894897

参考情報

  1. CERT/CC Vulnerability Note VU#894897
    NSIS Inetc plug-in fails to validate SSL certificates
  2. NSIS Wiki
    Inetc plug-in
  3. NSIS Wiki
    Main Page
  4. Winamp & SHOUTcast Forums
    inetc doesn't validate SSL certificates

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.03.23における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) 隣接ネットワークから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:7.3

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-0941
JVN iPedia