JVNDB-2014-001236
|
Emerson Avocent MergePoint Unity にディレクトリトラバーサルの脆弱性
|
|
Emerson Network Power が提供する Avocent MergePoint Unity のファームウェアには、ディレクトリトラバーサルの脆弱性 (CWE-23) が存在します。
CWE-23: Relative Path Traversal
http://cwe.mitre.org/data/definitions/23.html
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
エマソン
- Avocent MergePoint Unity ファームウェア バージョン 1.9.16473 およびそれ以前
- Avocent MergePoint Unity
|
開発者によると、影響を受けるファームウェアは、次の MergePoint Unity の全製品で使用されるとのことです。
・ MPU104E
・ MPU108E
・ MPU1016
・ MPU2016
・ MPU2032
・ MPU4032
・ MPU8032
なお、影響を受けるバージョンは、以下の範囲であるとの報告もなされています。
・ ファームウェアバージョン 1.2.3 から1.10.10 まで
|
|
遠隔の第三者によって、当該製品の /etc/passwd などの情報を取得される可能性があります。結果として、当該製品に管理者権限でアクセスされる可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・ アクセスを制限する
|
|
エマソン
|
|
- パス・トラバーサル(CWE-22) [NVD評価]
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2013-6030
|
|
- JVN : JVNVU#95235811
- National Vulnerability Database (NVD) : CVE-2013-6030
- US-CERT Vulnerability Note : VU#168751
|
|
- [2014年01月27日]
掲載
[2014年05月07日]
タイトル:内容を更新
影響を受けるシステム:内容を更新
ベンダ情報:Emerson Network Power (Previous Releases) を追加
|
