公開日:2016/04/26 最終更新日:2016/04/26

JVNVU#95625579
Allround Automations PL/SQL Developer が HTTP 経由でアップデートする問題

概要

Allround Automations PL/SQL Developer は、アップデートの確認を  HTTP 経由で行っており、また、コマンド実行前にアップデートの内容を検証しません。そのため、攻撃者が任意のコードを実行する可能性があります。

影響を受けるシステム

  • PL/SQL Developer version 11

詳細情報

データの信頼性の不十分な検証 (CWE-345) - CVE-2016-2346
報告者によると、Allround Automations PL/SQL Developer は、定期的に HTTP 経由でアップデートを確認します。アップデートが存在した場合、PL/SQL Developer はアップデートファイルをダウンロードし、ファイルの正当性やそのほかの確認を行わぬまま、アップデートを実行します。

中間者 (man-in-the-middle) 攻撃により、この通信に入りこんで必要なフィールドを変更することで、脆弱な機器に任意のデータを書き込み、PL/SQL Developer を実行しているユーザの権限で任意のコードを実行することが可能です。

想定される影響

中間者 (man-in-the-middle) 攻撃により、PL/SQL Developer を実行しているユーザの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
本脆弱性を修正した PL/SQL Developer version 11.0.6 がリリースされています。この更新により、アップデートの確認は HTTPS で行われ、アップデートのダウンロードは allroundautomations.com ドメインからのみに制限されます。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • 公衆 Wi-Fi などの信頼できないネットワークを使用しない

ベンダ情報

ベンダ リンク
Allround Automations PL/SQL Developer - News | April 22, 2016 - Version 11.0.6 released

参考情報

  1. CERT/CC Vulnerability Note VU#229047
    Allround Automations PL/SQL Developer v11 performs updates over HTTP

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
基本値: 5.6
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-2346
JVN iPedia