Help us understand the problem. What is going on with this article?

Retrospect Backup Client における Password Hash の脆弱性について

More than 3 years have passed since last update.

脆弱性の内容

JVN のデータより。

Retrospect Backup Client には、パスワードハッシュの生成アルゴリズムに問題があります。ハッシュの生成時にパスワードを完全に使用ないため、高い確率で他のパスワードと衝突する弱いハッシュ値を生成します。Retrospect Backup Client が動作するマシンにネットワーク経由でアクセスできる攻撃者は、最大でも 128回の試行でハッシュ値の衝突を起こすパスワードを生成することができます。

要するに簡単にパスワードをぶっこ抜けます。

影響度

Vulnerability Note VU#101500 より

CVSS 基本値 7.9 (AV:A/AC:M/Au:N/C:C/I:C/A:C)

基本評価基準 評価値
攻撃元区分(AV) 隣接ネットワーク(A)
攻撃条件の複雑さ(AC) 中(M)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) 全面的(C)
情報改ざんの可能性(完全性への影響, I) 全面的(C)
業務停止の可能性(可用性への影響, A) 全面的(C)

CVSS についてはデモページを参照のこと。

影響を受ける実装

  • Retrospect Client 10.0.2 より前のバージョン(Windows/Linux)
  • Retrospect Client 12.0.2 より前のバージョン(Mac)

影響を受けるのはパスワード認証を行っているユーザのみ。公開鍵認証を行っているユーザには影響しない。以下のバージョンで修正済み。

  • Retrospect 10.0.2 for Windows
  • Retrospect 12.0.2 for Mac
  • Retrospect Backup Client 10.0.2 for Windows/Linux
  • Retrospect Backup Client 12.0.2 for Mac

またはパスワード認証を止めて公開鍵認証に切り替える(推奨)。

参考ページ

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした