ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性 | ScanNetSecurity
2024.07.24(水)

ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月18日、ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月18日、ID リンク・マネージャーおよびFUJITSU Software TIME CREATORにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。WithSecure KKのChristian Demko氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2024-33620
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3

・CVE-2024-33622、CVE-2024-34024
FUJITSU Business Application ID リンク・マネージャーII V1.8およびそれ以前のバージョン
FUJITSU Software ID リンク・マネージャー V2.0
FUJITSU Software TIME CREATOR ID リンク・マネージャー V2.3.0、V2.3.1、V2.4、V2.5、V2.6、V2.7
FUJITSU Software TIME CREATOR ID リンク・マネージャー V3.0、V3.0.2、V3.0.2.1、V3.0.3
FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaS(2024年6月16日のメンテナンスより前のバージョン)

 エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・パストラバーサル(CVE-2024-33620)
→認証無しでサーバ上の機微な情報を含むファイルを参照される

・不適切な認証(CVE-2024-33622)
→機微な情報を取得されたり、データベース内の情報を改ざんされる

・情報漏えい(CVE-2024-34024)
→認証無しでユーザ名の有無を参照される

 JVNでは、開発者が提供する情報をもとにパッチを適用するよう呼びかけている。なお、FUJITSU Software TIME CREATOR ID リンク・マネージャー SaaSについては、2024年6月16日のメンテナンスで修正済みとなっている。

《ScanNetSecurity》

特集

関連記事

PageTop

アクセスランキング

  1. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  2. 富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

    富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大

  3. 東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

    東京海上日動火災保険 提携先の税理士法人にランサムウェア攻撃

  4. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  5. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

    日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

ランキングをもっと見る
PageTop