JVNDB-2015-005776
|
Huawei HG532 シリーズルータにディレクトリトラバーサルの脆弱性
|
|
Huawei HG532e, n, s を含む HG532 シリーズルータには、ディレクトリトラバーサルにより任意のファイルにアクセスされる脆弱性が存在します。
ディレクトリトラバーサル (CWE-22) - CVE-2015-7254
本脆弱性の影響を受けるルータ製品では、37215/tcp 経由で /icon/ にアクセスすることで任意のファイルを取得することが可能となります。たとえば、遠隔の攻撃者は http://[IP アドレス]:37215/icon/../../../etc/inittab に直接アクセスすることで inittab ファイルを取得することが可能です。
CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
http://cwe.mitre.org/data/definitions/22.html
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Huawei
|
それ以外の HG532 シリーズルータ製品も本脆弱性の影響を受ける可能性があります。
|
|
LAN 内の攻撃者によって、当該機器内の任意のファイルにアクセスされる可能性があります。設定によっては、LAN 外からこれらの攻撃を受ける可能性があります。
|
|
[アップデートする]
Huawei は、本脆弱性を修正したファームウェアアップデートをキャリア向けにリリースする準備を進めています。ユーザは最新版のファームウェアリリースについてキャリアへお問い合わせください。
[ワークアラウンドを実施する]
対策版ファームウェアがリリースされるまでの間、次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
* 信頼できない通信を制限する
|
|
|
|
- パス・トラバーサル(CWE-22) [NVD評価]
|
|
- CVE-2015-7254
|
|
- JVN : JVNVU#94520968
- National Vulnerability Database (NVD) : CVE-2015-7254
- US-CERT Vulnerability Note : VU#438928
|
|
|
