Dorsett Controls セキュリティブレイティン (2024-07-03)InfoScan バージョン 1.32、1.33、1.35 におけるセキュリティ脆弱性の特定 概要 以下の問題は、InfoScan のバージョン 1.32、1.33、1.35 で発見されました。 問題 1: ユーザーログイン前に、レスポンスヘッダーおよびレンダリングされた JavaScript 経由で機密情報が漏洩する可能性がある。 - リスク: 攻撃者は 2FA(二段階認証)の有無やユーザー名を知ることができるため、ログイン試行の有力な出発点となる。パスワード総当たり攻撃が行われる可能性もあるが、より一般的なのは使い回されたパスワードの不正利用である。 問題 2: InfoScan クライアントのダウンロードページをプロキシを介してインターセプト(傍受)することで、システム上のファイル名が露呈する。これにより、機密情報を手動で探すことで他の情報漏洩につながる可能性がある。 - リスク: ディレクトリTraversal(パスTraversal)脆弱性により、シークレット情報が露出し、ソフトウェア内の他の脆弱性が発見される可能性がある。 必要な対応 これらのセキュリティ脆弱性を踏まえ、直ちにこれらの脆弱性を修正するよう強く推奨します。影響を受ける InfoScan システムのバージョンは 1.38 以降にアップデートしてください。 新しいセキュリティパッチをインストールするには、管理者が InfoScan にログインし、メニューから「System Prefs(システム設定)」を選択する必要があります。System Prefs アプリケーションが開いたら、「Maintenance(メンテナンス)」を選択し、「Ready To Install(インストール準備完了)」セクションの「Install Now(今すぐインストール)」ボタンをクリックします。オフライン環境のお客様(InfoScan がインターネットにアクセスできない場合)は、Dorsett Controls カスタマーポータルからアップデートをダウンロードする必要があります。「InfoScan Update」タイルを選択してアップデートをダウンロードし、ポータルに記載された手順に従ってください。 アップデートに関するサポートについては、support@dorsettcontrols.com までお問い合わせください。