HP ThinUpdateにおけるサーバー証明書の検証不備に関する脆弱性（JVN#02058996）

LAC Advisory No.134

デジタルペンテスト部の平井です。

HP Development Company, L.P.が提供するHP ThinUpdateに、サーバー証明書の検証不備の脆弱性が存在することが分かりました。

影響を受けるシステム

HP ThinUpdateの2.7.15より前のバージョン

HTTPSプロトコルを使用してファイルのダウンロードを行う際に、サーバー証明書の検証を無効にするために、特定のプロパティに対して、常に検証を成功させるコールバックルーチンを指定しています。

この脆弱性が悪用されると、偽のOSイメージをダウンロードしてしまう可能性があります。そのため、該当のバージョンを使用している場合にはバージョンアップを行うことが求められます。

開発者が提供する情報をもとに、最新のソフトウェアへアップデートを行ってください。

平井成海（デジタルイノベーション統括部デジタルペンテスト部）

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づきラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。

CVE-2023-4499（https://www.cve.org/CVERecord?id=CVE-2023-4499）

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

この記事は役に立ちましたか？

はいいいえ