JVNDB-2014-003690

JVNDB-2014-003690
Rocket Servergraph の Tivoli Storage Manager 用 Admin Center におけるディレクトリトラバーサルの脆弱性
概要
Rocket Servergraph の Tivoli Storage Manager (TSM) 用 Admin Center には、ディレクトリトラバーサルの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 10.0 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 全面的完全性への影響(I): 全面的可用性への影響(A): 全面的
影響を受けるシステム

Rocket Software Rocket Servergraph 1.2

想定される影響
第三者により、以下の項目を実行される可能性があります。 (1) fileRequestor サーブレットの writeDataFile アクションの .. (ドットドット) を含む query パラメータを介して、任意のファイルを作成される (2) fileRequestor サーブレットの run アクションの query パラメータを介して、任意のファイルを実行される (3) fileRequestor サーブレットの runClear アクションの query パラメータを介して、任意のファイルを実行される (4) fileRequestor サーブレットの readDataFile アクションを介して、任意のファイルを読まれる (5) userRequest サーブレットの save_server_groups アクションを介して、任意のコードを実行される (6) fileRequestServlet サーブレットの del アクションを介して、任意のファイルを削除される
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
Rocket Software Rocket Software : Products
CWEによる脆弱性タイプ一覧 CWEとは?
パス・トラバーサル(CWE-22) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-3914
参考情報
National Vulnerability Database (NVD) : CVE-2014-3914 関連文書 : ZDI-14-161: (0Day) Rocket Servergraph Admin Center for TSM fileRequestServlet writeDataFile Command Remote Code Execution Vulnerability 関連文書 : ZDI-14-162: (0Day) Rocket Servergraph Admin Center for TSM fileRequestorServlet run/runClear Command Remote Code Execution Vulnerability 関連文書 : ZDI-14-163: (0Day) Rocket Servergraph Admin Center for TSM fileRequestorServlet readDataFile Command Information Disclosure Vulnerability 関連文書 : ZDI-14-165: (0Day) Rocket Servergraph Admin Center for TSM fileRequestorServlet del Command Denial of Service Vulnerability 関連文書 : ZDI-14-166: (0Day) Rocket Servergraph Admin Center for TSM userRequest save_server_groups Command Remote Code Execution Vulnerability
更新履歴
[2014年08月08日] 掲載


公表日	2014/06/02
登録日	2014/08/08
最終更新日	2014/08/08

Rocket Servergraph の Tivoli Storage Manager 用 Admin Center におけるディレクトリトラバーサルの脆弱性