公開日:2013/06/11 最終更新日:2013/06/11

JVNVU#95176702
c-treeACE の難読化アルゴリズムに脆弱性

概要

FairCom が提供する c-treeACE には、脆弱な難読化アルゴリズムを使用しているため、鍵やパスワードの情報がなくても、もとの情報を復元される問題が存在します。
問題のアルゴリズムは、過去には FairCom Standard Encryption と呼ばれており、現在では Data Camouflage と呼ばれています。

影響を受けるシステム

  • c-treeACE

詳細情報

Data Camouflage アルゴリズム (旧名称 FairCom Standard Encryption) を使用して難読化された c-treeACE のデータベースを取得可能な攻撃者は、データベースの .fcs ファイルを、トライアル版のデフォルトの .fcs ファイルで置き換えることで、デフォルトの認証情報 (ADMIN/ADMIN) でデータベースにアクセスし、データベースの情報を閲覧することができます。

想定される影響

c-treeACE のデータベースを取得可能な攻撃者によって、データベースの情報を閲覧される可能性があります。

対策方法

Advanced File Encryption を使用する
データベースの情報の機密性を確保したい場合は、Advanced File Encryption を使用してください。
Advanced File Encryption では、AES などの標準的な暗号化アルゴリズムを使用することが可能です。

ベンダ情報

ベンダ リンク
FairCom c-tree Plus Programmer's Reference Guide - Encryption
c-tree Plus Programmer's Reference Guide - Advanced Encryption Configuration

参考情報

  1. CERT/CC Vulnerability Note VU#900031
    Faircom c-treeACE database weak obfuscation algorithm vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2013-0148
JVN iPedia