JVNDB-2008-001431
|
SNMPv3 実装の不適切な HMAC 処理による認証回避の脆弱性
|
|
SNMPv3 の実装には、細工されたパケットを適切に処理しないため認証回避の脆弱性が存在します。
SNMP (Simple Network Management Protocol) は、ネットワークデバイスの監視や管理のために広く使用されているプロトコルです。SNMPv3 は、認証やプライバシコントロールといったセキュリティ機能をサポートしています。SNMPv3 の認証では、HMAC (keyed-Hash Message Authentication Code) が使用されています。このコードは、秘密鍵と暗号ハッシュ機能を組み合わせてを生成されています。
SNMPv3 の実装によっては、認証処理に脆弱性があるため細工されたパケットを処理することで認証が回避されてしまう可能性が存在します。
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
Net-SNMP
- Net-SNMP 5.2.4.1 未満
- Net-SNMP 5.3.2.1 未満
- Net-SNMP 5.4.1.1 未満
アップル
- Apple Mac OS X 10.5.4 未満
- Apple Mac OS X Server 10.5.4 未満
アライドテレシス
- CentreCOM 9424Ts/XP-E
- CentreCOM 9424T/SP-E
- CentreCOM 9424T/SP
- SwitchBlade 5400Sシリーズ
- SwitchBlade 7800R シリーズ
- SwitchBlade 7800Sシリーズ
- SwitchBlade x908
- x900-12XT/S
- x900-24XS
- x900-24XT
アラクサラネットワークス
- AX2400Sシリーズ
- AX3600Sシリーズ
- AX5400Sシリーズ
- AX6300Sシリーズ
- AX6700Sシリーズ
- AX7700Rシリーズ
- AX7800Rシリーズ
- AX7800Sシリーズ
インターネットイニシアティブ
- SEIL/neu 128 2.00 から 2.42
- SEIL/Plus 1.00 から 1.91
- SEIL/Turbo 1.00 から 1.91
- SEIL/X1,X2 1.00 から 1.20
サン・マイクロシステムズ
- OpenSolaris (sparc)
- OpenSolaris (x86)
- Sun Solaris 10 (sparc)
- Sun Solaris 10 (x86)
シスコシステムズ
- Cisco CatOS 8.x
- Cisco IOS 12.4
- Cisco IOS XR
ミラクル・リナックス
- Asianux Server 2.0
- Asianux Server 2.1
- Asianux Server 3 (x86)
- Asianux Server 3 (x86-64)
- Asianux Server 3.0
- Asianux Server 3.0 (x86-64)
- Asianux Server 4.0
- Asianux Server 4.0 (x86-64)
レッドハット
- Red Hat Enterprise Linux 5 (server)
- Red Hat Enterprise Linux 2.1 (as)
- Red Hat Enterprise Linux 3 (as)
- Red Hat Enterprise Linux 4 (as)
- Red Hat Enterprise Linux 2.1 (es)
- Red Hat Enterprise Linux 3 (es)
- Red Hat Enterprise Linux 4 (es)
- Red Hat Enterprise Linux 2.1 (ws)
- Red Hat Enterprise Linux 3 (ws)
- Red Hat Enterprise Linux 4 (ws)
- Red Hat Enterprise Linux Desktop 3.0
- Red Hat Enterprise Linux Desktop 4.0
- Red Hat Enterprise Linux Desktop 5.0 (client)
- Red Hat Linux Advanced Workstation 2.1
- RHEL Desktop Workstation 5 (client)
日本電気
- IP8800/S,/R R400シリーズ(AX7800Rシリーズ, AX7700Rシリーズ)
- IP8800/S,/R S400シリーズ(AX7800Sシリーズ)
- IP8800/S,/R S6700シリーズ(AX6700Sシリーズ)
- IP8800/S,/R S6300シリーズ(AX6300Sシリーズ)
- IP8800/S,/R S3600シリーズ(AX3600Sシリーズ)
- IP8800/S,/R S2400シリーズ(AX2400Sシリーズ)
日立
富士通
|
|
|
遠隔の第三者によって SNMP オブジェクトを読まれたり変更されたりする可能性があります。
|
|
[アップデートする]
各開発元が提供する最新バージョンへアップデートしてください。
|
|
Net-SNMP
アップル
アライドテレシス
アラクサラネットワークス
インターネットイニシアティブ
サン・マイクロシステムズ
- Sun Alert Notification : 238865
シスコシステムズ
ミラクル・リナックス
レッドハット
横河電機株式会社
日本電気
日立
富士通
|
|
- 不適切な認証(CWE-287) [NVD評価]
|
|
- CVE-2008-0960
|
|
- JVN : JVNTA08-162A
- JVN : JVNVU#878044
- JVN Status Tracking Notes : TRTA08-162A
- National Vulnerability Database (NVD) : CVE-2008-0960
- US-CERT Vulnerability Note : VU#878044
- US-CERT Technical Cyber Security Alert : TA08-162A
- Secunia Advisory : SA30574
- SecurityFocus : 29623
|
|
- [2008年07月03日]
掲載
[2008年07月14日]
影響を受けるシステム:ミラクル・リナックス (1291) の情報を追加
影響を受けるシステム:日本電気 (NV08-007) の情報を追加
ベンダ情報:ミラクル・リナックス (1291) を追加
ベンダ情報:日本電気 (NV08-007) を追加
[2008年09月11日]
影響を受けるシステム:ミラクル・リナックス (net-snmp-5.3.1-19.1.1AXS3) の情報を追加
ベンダ情報:ミラクル・リナックス (net-snmp-5.3.1-19.1.1AXS3) を追加
[2008年10月09日]
影響を受けるシステム:アライドテレシス (SNMPv3に関する認証回避の脆弱性について) の情報を追加
ベンダ情報:アライドテレシス (SNMPv3に関する認証回避の脆弱性について) を追加
[2008年11月10日]
影響を受けるシステム:ミラクル・リナックス(1328)の情報を追加
ベンダ情報:ミラクル・リナックス(1328)を追加
[2009年02月05日]
影響を受けるシステム:富士通(snmp_12)の情報を追加
ベンダ情報:富士通(snmp_12)を追加
[2016年11月10日]
ベンダ情報:横河電機株式会社(YSAR-15-0002: Vnet/IP用ネットワークスイッチにSNMPv3認証迂回の脆弱性)を追加
|
