認証ソリューション「WisePoint」の旧バージョンに脆弱性

ファルコンシステムコンサルティングの認証ソリューション「WisePoint」の旧版にセッションが固定されている脆弱性が含まれていたことがわかった。

同製品は、シングルサインオンやアクセスコントロールなどの機能を備え、ブラウザから利用できるワンタイムパスワード認証ソリューション。

JVNが脆弱性情報を公開したもので、「同4.1.19.7」やそれ以前のバージョンにセッション情報が固定されている脆弱性「CVE-2014-3909」が存在するという。脆弱性を悪用することで、利用者以外による「なりすまし」が可能となる。

ファルコンシステムコンサルティングでは、2013年6月10日に脆弱性の影響を受けない「同4.1.19.8」、翌7月に「同4.1.19.9」をすでにリリース済み。

今回の脆弱性は、NTTソフトサービスの池本裕樹氏が情報処理推進機構（IPA）へ報告。JPCERTコーディネーションセンターが調整を実施した。

（Security NEXT - 2014/09/04 ） ツイート

PR

関連記事

日本医師会のレセプトソフトに複数の脆弱性
「Java SE」に14件の脆弱性 - アップデートが公開
Oracle、四半期定例パッチをリリース - 脆弱性334件を修正
「Java SE」の脆弱性8件をアップデートで修正 - Oracle
WordPress向け動画埋込用プラグインにXSSの脆弱性
アーカイバ「Explzh」にディレクトリトラバーサルの脆弱性
「WordPress」の脆弱性、重要ファイル削除のおそれ - コード実行の可能性も
「VMware Tools」に権限昇格のおそれ - アップデートがリリース
ID管理製品「RSA Identity Governance & Lifecycle」に深刻な脆弱性
NEC製ルータやネットワークカメラに複数脆弱性 - 悪用には管理者権限必要