gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
Update
JVNDB-2017-006689

Rufus に更新がセキュアに行われない脆弱性

5.8
2018/03/07 14:08
CVE-2017-13083

JVNDB-2017-006689

Rufus に更新がセキュアに行われない脆弱性
概要
Akeo Consulting が提供する Rufus は更新の確認や更新データの取得がセキュアに行われていません。結果として、任意のコードが実行される可能性があります。 Akeo Consulting が提供する Rufus はアップデートの取得を HTTP 経由で行っています。また、ダウンロードされたアップデートファイルの検証処理において、検証に失敗した場合でも、ユーザは警告を無視してアップデートを実行することが可能です。
想定される影響と対策
中間者 (man-in-the-middle) 攻撃により、任意のコードを実行される可能性があります。
JVNDB-2017-006689は、2017年8月31日現在、対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベンダサイトより更新データを取得してアップデートを行う
JVN情報 ※( )内はCVSS v3の値
深刻度5.8N/A
CVECVE-2017-13083
公表日2017/08/29 00:00
登録日2017/09/01 11:27
更新日2018/03/07 14:08
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
New
JVNDB-2017-006689

Rufus に更新がセキュアに行われない脆弱性

5.8
2017/09/01 11:27
CVE-2017-13083

JVNDB-2017-006689

Rufus に更新がセキュアに行われない脆弱性
概要
Akeo Consulting が提供する Rufus は更新の確認や更新データの取得がセキュアに行われていません。結果として、任意のコードが実行される可能性があります。 Akeo Consulting が提供する Rufus はアップデートの取得を HTTP 経由で行っています。また、ダウンロードされたアップデートファイルの検証処理において、検証に失敗した場合でも、ユーザは警告を無視してアップデートを実行することが可能です。
想定される影響と対策
中間者 (man-in-the-middle) 攻撃により、任意のコードを実行される可能性があります。
JVNDB-2017-006689は、2017年8月31日現在、対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベンダサイトより更新データを取得してアップデートを行う
JVN情報 ※( )内はCVSS v3の値
深刻度5.86.3
CVECVE-2017-13083
公表日2017/08/29 00:00
登録日2017/09/01 11:27
更新日2017/09/01 11:27
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。