LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

HP ThinUpdateにおけるサーバー証明書の検証不備に関する脆弱性(JVN#02058996)

LAC Advisory No.134

デジタルペンテスト部の平井です。

HP Development Company, L.P.が提供するHP ThinUpdateに、サーバー証明書の検証不備の脆弱性が存在することが分かりました。

影響を受けるシステム

HP ThinUpdateの2.7.15より前のバージョン

解説

HTTPSプロトコルを使用してファイルのダウンロードを行う際に、サーバー証明書の検証を無効にするために、特定のプロパティに対して、常に検証を成功させるコールバックルーチンを指定しています。

この脆弱性が悪用されると、偽のOSイメージをダウンロードしてしまう可能性があります。そのため、該当のバージョンを使用している場合にはバージョンアップを行うことが求められます。

対策方法

開発者が提供する情報をもとに、最新のソフトウェアへアップデートを行ってください。

HP ThinUpdate - 不適切な証明書の検証

発見者

平井 成海(デジタルイノベーション統括部 デジタルペンテスト部)

公表までの経緯

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づきラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。

JVN#02058996
JVNDB-2023-000103

CVE番号

CVE-2023-4499(https://www.cve.org/CVERecord?id=CVE-2023-4499)

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • マルウェア「gokcpdoor」を用いた日本組織を狙う攻撃キャンペーン

  • LAC Security Insight 第6号 2023 秋 止まらないランサムウェアとAPT攻撃

  • 『サイバー攻撃者との「交渉」の舞台裏と、これからのインシデントレスポンス』が公開