JVNDB-2015-006309
|
Buffalo WZR-600DHP2 に不十分なランダム値を使用している問題
|
|
Buffalo が提供する無線 LAN ルータ WZR-600DHP2 には、不十分なランダム値を使用している問題が存在します。
不十分なランダム値の使用 (CWE-330) - CVE-2015-8262
WZR-600DHP2 から送信される DNS クエリのソースポート番号は固定されています。また、DNS クエリに使われる TXID は 0x0002 ずつ増加するようになっており、外部から予測可能です。攻撃者は、DNS スプーフィングにより、LAN 内の端末を悪意のあるサーバに誘導することが可能です。
CWE-330: Use of Insufficiently Random Values
http://cwe.mitre.org/data/definitions/330.html
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
バッファロー
- WZR-600DHP2 ファームウェア version 2.09
- WZR-600DHP2 ファームウェア version 2.13
- WZR-600DHP2 ファームウェア version 2.16
|
それ以外のファームウェアバージョンも本脆弱性の影響を受ける可能性があります。
|
|
遠隔の攻撃者によって DNS レスポンスを偽装され、LAN 内の端末を悪意のあるサーバに誘導される可能性があります。
|
|
2015年12月11日現在、対策方法は不明です。
|
|
バッファロー
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2015-8262
|
|
- JVN : JVNVU#93831077
- National Vulnerability Database (NVD) : CVE-2015-8262
- US-CERT Vulnerability Note : VU#646008
|
|
- [2015年12月14日]
掲載
[2016年01月07日]
参考情報:National Vulnerability Database (NVD) (CVE-2015-8262) を追加
|
