JVNDB-2014-005188

JVNDB-2014-005188
Linksys SMART WiFi ルータのファームウェアにおける管理者の MD5 パスワードハッシュを取得される脆弱性
概要
Linksys SMART WiFi ルータのファームウェアには、管理者の MD5 パスワードハッシュを取得される脆弱性が存在します。なお、JVNVU#96488651 では、CWE-320 として公開されています。 CWE-320: Key Management Errors https://cwe.mitre.org/data/definitions/320.html
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 3.3 (注意) [NVD値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし
影響を受けるシステム

シスコシステムズ (Linksys) E4200v2 ファームウェア 2.1.41 (Build 162351) 未満 EA2700 ファームウェア EA3500 ファームウェア EA4500 ファームウェア 2.1.41 (Build 162351) 未満 EA6200 ファームウェア 1.1.41 (build 162599) 未満 EA6300 ファームウェア 1.1.40 (build 160989) 未満 EA6400 ファームウェア 1.1.40 (build 160989) 未満 EA6500 ファームウェア 1.1.40 (build 160989) 未満 EA6700 ファームウェア 1.1.40 (build 160989) 未満 EA6900 ファームウェア 1.1.42 (Build 161129) 未満 E4200v2 EA2700 EA3500 EA4500 EA6200 EA6300 EA6400 EA6500 EA6700 EA6900

想定される影響
第三者により、/.htpasswd URI に対する直接のリクエストを介して、管理者の MD5 パスワードハッシュを取得される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
シスコシステムズ (Linksys) Linksys : E4200 Support Linksys : EA2700 Support Linksys : EA3500 Support Linksys : EA4500 Support Linksys : EA6200 Support Linksys : EA6300 Support Linksys : EA6400 Support Linksys : EA6500 Support Linksys : EA6700 Support Linksys : EA6900 Support
CWEによる脆弱性タイプ一覧 CWEとは?
暗号の問題(CWE-310) [NVD評価] その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-8243
参考情報
JVN : JVNVU#96488651 National Vulnerability Database (NVD) : CVE-2014-8243 US-CERT Vulnerability Note : VU#447516
更新履歴
[2014年11月05日] 掲載


公表日	2014/10/31
登録日	2014/11/05
最終更新日	2014/11/05

Linksys SMART WiFi ルータのファームウェアにおける管理者の MD5 パスワードハッシュを取得される脆弱性