JVNDB-2012-003106
|
Johnson Controls CK721-A コントローラのファームウェアにおける任意のコマンドを実行される脆弱性
|
|
Johnson Controls CK721-A コントローラのファームウェアには、ダウンロード用ポート (41014/TCP) で受信したパケットの処理に問題があり、任意のコマンドを実行可能な脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 7.5 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
ジョンソンコントロールズ
- Network Controller ファームウェア SSM4388_03.1.0.14_BB 未満
- Network Controller CK721-A
|
|
|
CK721-A が細工された TCP ポート 41014 へのパケットを受信することで、ドアの解錠や、保護区域への物理的アクセス許可に関わる設定変更などの操作をされる可能性があります。
|
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
Johnson Controls Information for VU#977312 には以下のように記載されています。
なお、下記は CVE-2012-4026 に該当する脆弱性の内容も含みます。
* Step 1 Upgrade of the P2000 server security application software,
to version P2000 V 3.11, P2K-SW-CORE 311. P/N 27-5618-3.
* Step 2 Upgrade of the hardware module, of the CK-721 controller,
to version CK-721A. P/N 27-5379-1044
* Step 3 Upgrade of the controller firmware, to current version.
SSM4388_03.1.0.14_BB
* Step 4 Activation of encryption, as per the standard documentation.
P/N 24-10618-147 Rev. A
また、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
[ワークアラウンドを実施する]
41014/TCP へのアクセスを制限する
|
|
ジョンソンコントロールズ
|
|
- OSコマンドインジェクション(CWE-78) [NVD評価]
|
|
- CVE-2012-2607
|
|
- JVN : JVNVU#977312
- National Vulnerability Database (NVD) : CVE-2012-2607
- US-CERT Vulnerability Note : VU#977312
- US-CERT Vulnerability Note : Johnson Controls Information for VU#977312
|
|
|
