公的個人認証サービスのクライアントソフトインストーラに再び脆弱性見つかる
地方公共団体情報システム機構(J-LIS)が、Windows向けに提供する「公的個人認証サービス利用者クライアントソフト」のインストーラに脆弱性が含まれていることがわかった。2016年11月に同様の脆弱性が見つかっているが、異なる脆弱性だという。
脆弱性情報のポータルサイトであるJVNによれば、同製品のインストーラにおいて検索パスの設定に脆弱性「CVE-2017-2157」が判明したという。意図しないライブラリファイルを読み込み、コードを実行されるおそれがある。
2016年11月にも同製品において、類似した脆弱性「CVE-2016-4902」が修正されたが、あらたに別の脆弱性が明らかになったという。
同機構では、最新版となる「同3.1」を用意した。すでにインストール済みの環境に関しては影響を受けないとしている。
同脆弱性は、セキュリティ・プロフェッショナルズ・ネットワークの吉田英二氏や三井物産セキュアディレクションの吉川孝志氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。
(Security NEXT - 2017/05/10 )
ツイート
PR
関連記事
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
