JVNDB-2015-004031
|
ALEOS を使用する Sierra Wireless の複数のデバイスがハードコードされたパスワードを使用する問題
|
|
Sierra Wireless が提供する AirLink ゲートウェイデバイス上で実行される管理ソフトウェア ALEOS には、認証情報がハードコードされている問題が存在します。
認証情報 (パスワード) がハードコードされている問題 (CWE-259) - CVE-2015-2897
Sierra Wireless が提供する AirLink ゲートウェイデバイス上で実行される管理ソフトウェア ALEOS には、root 権限を持った複数のアカウントがハードコードされています。ALEOS バージョン 4.3.4 およびそれ以前では、これら root 権限を持ったアカウントは初期設定で有効になっており、telnet または ssh でアクセス可能です。ALEOS バージョン 4.3.5 から 4.4.1 の初期設定では、ハードコードされたアカウントは有効になっていますが、リモートアクセスは無効になっています。
CWE-259: Use of Hard-coded Password
https://cwe.mitre.org/data/definitions/259.html
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
ALEOS バージョン 4.4.1 およびそれ以前を使用する次の AirLink ゲートウェイデバイスが本脆弱性の影響を受けます。
|
Sierra Wireless
- ALEOS 4.4.1 およびそれ以前
- AirLink ES440
- AirLink ES450
- AirLink GX400
- AirLink GX440
- AirLink GX450
- AirLink LS300
|
|
|
遠隔の攻撃者によって、影響を受けるデバイスを操作される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、ALEOS をアップデートしてください。
開発者によると、本脆弱性は ALEOS バージョン 4.4.2 で修正されており、初期設定においてハードコードされたアカウントへのアクセスは無効になっています。
[ワークアラウンドを実施する]
ALEOS のアップデートを希望しないまたは不可能なユーザに対して、開発者は次の回避策を推奨しています。
* 信頼できるホストまたはネットワークからのみ接続を許可するようにアクセス制限をかける
|
|
Sierra Wireless
|
|
- 情報漏えい(CWE-200) [NVD評価]
- ハードコードされたパスワードの使用(CWE-259) [その他]
|
|
- CVE-2015-2897
|
|
- JVN : JVNVU#95544994
- National Vulnerability Database (NVD) : CVE-2015-2897
- US-CERT Vulnerability Note : VU#628568
|
|
- [2015年08月11日]
掲載
[2015年08月17日]
CVSS による深刻度:内容を更新
|
