「Retrospect」でパスワードが容易に把握される脆弱性
バックアップソフトウェア「Retrospect Backup Client」に脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。
同製品では、パスワード認証を利用する場合、パスワードをハッシュ化して保存するが、脆弱なハッシュ値を利用する「CVE-2015-2864」が存在するもの。ハッシュ値の衝突により、最大で128回の試行によりパスワードを生成でき、バックアップファイルのデータへアクセスされるおそれがあるという。
Windows版、Linux版では、「同10.0.2」より以前のバージョンが影響を受ける。またMac OS X版では、「同12.0.2」より以前のバージョン。
脆弱性を修正したアップデートが公開されている。またパスワード認証のみ影響があり、公開鍵認証を使用する場合は、影響を受けないとしている。
(Security NEXT - 2015/06/18 )
ツイート
関連リンク
PR
関連記事
NEC製「Atermシリーズ」に複数の脆弱性 - アップデートを
「Apache Fineract」にSQLi脆弱性 - 修正アップデートが公開
「Juniper Session Smart Router」に深刻な脆弱性 - アップデートを
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
「PandasAI」にプロンプトインジェクションの脆弱性
NVIDIA、アドバイザリ4件を公開 - 複数製品の脆弱性を解消
米当局、悪用が確認されている脆弱性6件に注意喚起
Ivanti、アドバイザリ3件を公開 - 深刻な脆弱性などへ対処
IvantiのVPNやアクセス制御製品に複数の脆弱性 - 「クリティカル」も
GitLab、4件の脆弱性に対応したアップデートを公開