【活用ガイド】

JVNDB-2013-003994

複数の Supermicro デバイス製品の IPMI におけるアクセス制限を回避される脆弱性

概要

複数の Supermicro デバイス製品の Intelligent Platform Management Interface (IPMI) が実装する Web インターフェースは、認証チェックのために使用されるクライアント上の JavaScript コードを信頼するため、アクセス制限を回避される脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


Super Micro Computer
  • H8DCL-6F
  • H8DCL-iF
  • H8DCT-HIBQF
  • H8DCT-HLN4F
  • H8DCT-IBQF
  • H8DG6-F
  • H8DGG-QF
  • H8DGi-F
  • H8DGT-HF
  • H8DGT-HIBQF
  • H8DGT-HLF
  • H8DGT-HLIBQF
  • H8DGU-F
  • H8DGU-LN4F+
  • H8SCM-F
  • H8SGL-F
  • H8SME-F
  • H8SML-7
  • H8SML-7F
  • H8SML-i
  • H8SML-iF
  • X7SPA-HF
  • X7SPA-HF-D525
  • X7SPE-H-D525
  • X7SPE-HF
  • X7SPE-HF-D525
  • X7SPT-DF-D525
  • X7SPT-DF-D525+
  • X8DTL-3F
  • X8DTL-6F
  • X8DTL-IF
  • X8DTN+-F
  • X8DTN+-F-LR
  • X8DTU-6F+
  • X8DTU-6F+-LR
  • X8DTU-6TF+
  • X8DTU-6TF+-LR
  • X8DTU-LN4F+
  • X8DTU-LN4F+-LR
  • X8SI6-F
  • X8SIA-F
  • X8SIE-F
  • X8SIE-LN4F
  • X8SIL-F
  • X8SIT-F
  • X8SIT-HF
  • X8SIU-F
  • X9DAX-7F
  • X9DAX-7F-HFT
  • X9DAX-7TF
  • X9DAX-iF
  • X9DAX-iF-HFT
  • X9DAX-iTF
  • X9DB3-F
  • X9DB3-TPF
  • X9DBi-F
  • X9DBi-TPF
  • X9DBL-3F
  • X9DBL-iF
  • X9DBU-3F
  • X9DBU-iF
  • X9DR3-F
  • X9DR3-LN4F+
  • X9DR7-LN4F
  • X9DR7-LN4F-JBOD
  • X9DR7-TF+
  • X9DRD-7JLN4F
  • X9DRD-7LN4F
  • X9DRD-7LN4F-JBOD
  • X9DRD-EF
  • X9DRD-iF
  • X9DRE-LN4F
  • X9DRE-TF+
  • X9DRFF
  • X9DRFF-7
  • X9DRFF-7+
  • X9DRFF-7G+
  • X9DRFF-7T+
  • X9DRFF-7TG+
  • X9DRFF-i+
  • X9DRFF-iG+
  • X9DRFF-iT+
  • X9DRFF-iTG+
  • X9DRFR
  • X9DRG-HF
  • X9DRG-HF+
  • X9DRG-HTF
  • X9DRG-HTF+
  • X9DRH-7F
  • X9DRH-7TF
  • X9DRH-iF
  • X9DRH-iTF
  • X9DRi-F
  • X9DRi-LN4F+
  • X9DRL-3F
  • X9DRL-EF
  • X9DRL-iF
  • X9DRT-F
  • X9DRT-H6F
  • X9DRT-H6IBFF
  • X9DRT-H6IBQF
  • X9DRT-HF+
  • X9DRT-IBFF
  • X9DRT-IBQF
  • X9DRW-3LN4F+
  • X9DRW-3TF+
  • X9DRW-7TPF+
  • X9DRW-iTPF+
  • X9DRX+-F
  • X9QR7-TF
  • X9QR7-TF+
  • X9QR7-TF-JBOD
  • X9QRi-F
  • X9QRi-F+
  • X9SBAA-F
  • X9SCA-F
  • X9SCD-F
  • X9SCE-F
  • X9SCFF-F
  • X9SCI-LN4F
  • X9SCL+-F
  • X9SCL-F
  • X9SCM-F
  • X9SCM-iiF
  • X9SPU-F
  • X9SRD-F
  • X9SRE-3F
  • X9SRE-F
  • X9SRG-F
  • X9SRi-3F
  • X9SRi-F
  • X9SRL-F
  • X9SRW-F

想定される影響

リモート認証されたユーザにより、PrivilegeCallBack 関数に関連する巧妙に細工されたリクエストを介して、アクセス制限を回避される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

Super Micro Computer
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2013-3609
参考情報

  1. JVN : JVNVU#96655201
  2. National Vulnerability Database (NVD) : CVE-2013-3609
  3. US-CERT Vulnerability Note : VU#648646
  4. US-CERT Technical Cyber Security Alert : TA13-207A
  5. 関連文書 : Illuminating the Security Issues Surrounding Lights-Out Server Management
更新履歴

  • [2013年09月10日]
      掲載
    [2013年09月11日]
      想定される影響:内容を更新
    [2013年12月26日]
      ベンダ情報:Super Micro Computer (Firmware Fixes to Common Vulnerabilities and Exposures) を追加

公表日2013/08/30
登録日2013/09/10
最終更新日2013/12/26