JVNDB-2014-007337
|
複数のブロードバンドルータに、脆弱性が存在するバージョンの Allegro RomPager を使用している問題
|
|
複数のブロードバンドルータのファームウェアには、脆弱性が存在する古いバージョンの Allegro RomPager を使用している問題が存在します。
Allegro RomPager 4.34 より前のバージョンには、第三者にデバイスの管理者権限を取得される脆弱性が存在します。本脆弱性は Allegro が 2005年に修正していますが、複数のブロードバンドルータのファームウェアには、いまだに脆弱性が存在する古いバージョンの Allegro RomPager が使用されています。
補足情報 : CWE による脆弱性タイプは、CWE-17: Code (コード) と識別されています。
http://cwe.mitre.org/data/definitions/17.html
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
Allegro Software Development Corporation
- RomPager 4.34 より前のバージョンを実装したファームウェア
|
本脆弱性の影響を受ける可能性がある製品に関する詳しい情報は、Check Point Software Technologies のアドバイザリに記載されています。
|
|
遠隔の第三者によって、当該製品上で任意のコードを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報を確認し、対策版ファームウェアが存在する場合は最新版へアップデートしてください。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・WAN 側インタフェースの HTTP 通信や HTTPS 通信を無効にする
なお、CERT/CC Vulnerability Note VU#561444 では、DD-WRT や OpenWrt などサードパーティ製のファームウェアを使用した回避策も紹介されています。
CERT/CC Vulnerability Note VU#561444
http://www.kb.cert.org/vuls/id/561444
DD-WRT
http://www.dd-wrt.com/site/index
OpenWrt
https://openwrt.org/
|
|
Allegro Software Development Corporation
Huawei
チェック・ポイント・ソフトウェア・テクノロジーズ
バッファロー
株式会社アイ・オー・データ機器
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2014-9222
|
|
- JVN : JVNVU#96446762
- National Vulnerability Database (NVD) : CVE-2014-9222
- US-CERT Vulnerability Note : VU#561444
- ICS-CERT ADVISORY : ICSMA-18-240-01
|
|
- [2014年12月24日]
掲載
[2015年01月06日]
概要:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
ベンダ情報:Huawei (Security Advisory-Multiple Vulnerabilities in the RomPager Component of Home Gateway) の情報を追加
ベンダ情報:バッファロー (CVE-2014-9222 脆弱性が存在するバージョンの Allegro RomPager を使用している) の情報を追加
参考情報:National Vulnerability Database (NVD) (CVE-2014-9222) を追加
[2015年01月15日]
ベンダ情報:アイ・オー・データ機器 (ブロードバンドルーター「NP-BBRsx」(2003年生産終了)の 脆弱性について) の情報を追加
- [2019年07月10日]
参考情報:ICS-CERT ADVISORY (ICSMA-18-240-01) を追加
|
