JVNDB-2014-003316
|
Raritan PX Power Distribution ソフトウェアに cipher zero 攻撃を受ける脆弱性
|
|
Raritan PX Power Distribution ソフトウェアに cipher zero 攻撃を受ける脆弱性が存在します。
Raritan PX (DPXR20A-16) に使用されている Raritan PX Power Distribution ソフトウェア バージョン 01.05.08 およびそれ以前のバージョンには、遠隔の第三者により、cipher suite 0 (別名 cipher zero) および任意のパスワードを使用されることで、認証を回避されて任意の IPMI コマンドを実行される脆弱性 (CWE-287) が存在します。
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
Raritan PX (DPXR20A-16) に使用されている Raritan PX Power Distribution ソフトウェアが本脆弱性の影響を受けます。
|
ラリタン・ジャパン株式会社
- Raritan PX Power Distribution ソフトウェア バージョン 01.05.08 およびそれ以前
- DPXR20A-16
|
|
|
遠隔の第三者により、ログインされたアカウントの権限で当該製品を管理される可能性があります。
|
|
[アップデートする ]
開発者は、本脆弱性の対策版としてバージョン 1.5.11 を製品ユーザへ提供しています。
詳しくは開発者にご確認ください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
* ファイアウォールおよび VLAN セグメンテーションの設定により、一般のネットワークから管理者インターフェースへのアクセスを制御する
|
|
ラリタン・ジャパン株式会社
|
|
- 不適切な認証(CWE-287) [IPA評価]
|
|
- CVE-2014-2955
|
|
- JVN : JVNVU#94415561
- National Vulnerability Database (NVD) : CVE-2014-2955
- US-CERT Vulnerability Note : VU#712660
- 関連文書 : The Infamous Cipher Zero
- 関連文書 : Raritan PX Model Number: DPXR20A-16 Raritan Technical Specification
|
|
- [2014年07月11日]
掲載
[2014年07月16日]
参考情報:National Vulnerability Database (NVD) (CVE-2014-2955) を追加
|
