Brynhildr

KeroRemote

リモートデスクトップエンジニアのブログ。

Brynhildr「2.2.5」リリース

BrynhildrをWindowsサービスに登録して御利用されている方は、脆弱性が発覚しましたので大変恐れ入りますがバージョンアップを御願いできればと思います。

Brynhildr Download

まず、Brynhildrに脆弱性が発覚しました。Brynhildrは、暗号化ファイルの鍵にシステム情報を利用しています。「Windows 10 Creators Update」のような大きなバージョンアップの際に、システム情報が変わってしまう可能性があります。このシステム情報が変わってしまった場合、鍵が変わってしまい暗号化ファイルの復号化ができず暗号化ファイルは開けなくなってしまいます。暗号化ファイルには、サーバーモードのパスワードを保管していますが、暗号化ファイルが開けなくなった際には、パスワードが無効化されパスワードが無くても接続できる状態になります。

これ完全に脆弱性です。

発生条件としましては、BrynhildrをWindowsサービスに登録して動作中にWindowsの大きなバージョンアップが行われシステム情報が変わってしまうケースなのですが、全ての環境でシステム情報が変わってしまう事はなく、一部の環境のみでシステム情報が変わってしまうようです。ちなみに当方の複数の環境で確認しましたがシステム情報は変わりませんでした。

このシステム情報(=鍵)が変わってしまい、暗号化ファイルを開けなくなった場合は、パスワードをランダム値に変更し、接続できないようにする処置を施したのが本バージョンです。

ちなみに、暗号化ファイルの仕様を変更したため、今回のみ「new」フォルダを利用したBrynhildrのバージョンアップ機能ではバージョンアップできませんので御了承ください。もしバージョンアップ機能を使ってバージョンアップを行っても、パスワードがランダムに変更され、パスワードエラーで接続できないようになりますので御注意ください。

あと、積み上げられた細かな微調整が施されております。

脆弱性発覚とか本当にすみません。特にたくさんの端末で稼働されている方には本当に御迷惑と御手数を御掛けして申し訳ございません。宜しく御願い致します。




4件のコメント ... ( 管理人承認制 )



お世話になります。


例のパスワードの件、窓の杜にもデカデカとでていてビビりました。
確かに冷静に考えたらマズいのですが(宅内使用だったので余り焦らなかった)、今回はなんだかお騒がせしてしまいましたね。。。


そして、早速の修正ありがとうございました。newフォルダに放り込まず、きっかりサービス停止してから更新させて頂きます。


YM  2017/04/10


いえいえ、脆弱性と言うと聞こえは悪いですが、対策を行う事でさらに安定性が高まったと思っています。御報告ありがとうございます。今後とも宜しく御願い致します。


IchiGeki  2017/04/10


trueから愛用しております。
newは今後使えないということで削除してよろしいでしょうか?


XYZ  2017/04/11


「new」フォルダによるバージョンアップが行えないのは今回のみとなります。ただ今後再度暗号化ファイルの仕様変更が発生した場合は、その際再度「new」フォルダによるバージョンアップが行えなくなりますので御理解ください。宜しく御願い致します。


IchiGeki  2017/04/11




... 不具合報告の際は、アプリのバージョンやOS等の動作環境の記載を御願い致します。

表記されている会社名・製品名・システム名などは、各社の商標、または登録商標です。
当サイトはAmazon.co.jpアソシエイトプログラムに参加しています。
Copyright (C) IchiGeki All Rights Reserved.