JVNDB-2015-006526
|
Seagate および LaCie ワイヤレスストレージ製品に複数の脆弱性
|
Seagate が提供するワイヤレスストレージ製品には、複数の脆弱性が存在します。
認証情報 (パスワード) がハードコードされている問題 (CWE-798) - CVE-2015-2874
マニュアルに記載のない telnet サービスが立ち上がっており、ユーザ名 "root"、デフォルトのパスワードを使用してアクセス可能です。
CWE-798: Use of Hard-coded Credentials
https://cwe.mitre.org/data/definitions/798.html
なお、National Vulnerability Database (NVD) では、CWE-255 として公開されています。
リクエストの直接送信 (Forced Browsing) (CWE-425) - CVE-2015-2875
デフォルト設定で、機器に無線でアクセスした際に、誰でもファイルをダウンロードすることが可能です。ファイルシステム上の任意のファイルを直接ダウンロードできます。
CWE-425: Direct Request ('Forced Browsing')
https://cwe.mitre.org/data/definitions/425.html
なお、National Vulnerability Database (NVD) では、CWE-22 として公開されています。
危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2015-2876
デフォルト設定で、機器に無線でアクセスした際に、/media/sda2 ファイルシステムにファイルをアップロードすることが可能です。このファイルシステムはファイル共有のために用意されているものです。
CWE-434: Unrestricted Upload of File with Dangerous Type
https://cwe.mitre.org/data/definitions/434.html
|
CVSS v2 による深刻度 基本値: 9.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
ファームウェアバージョン 2.2.0.005 および 2.3.0.014 (2014年10月リリース) を使用する次のデバイスが本脆弱性の影響を受けます。
|
LaCie
Seagate Technology LLC
- Seagate GoFlex Satellite
- Seagate Wireless Mobile Storage
- Seagate Wireless Plus Mobile Storage
|
その他のファームウェアバージョンも本脆弱性の影響を受ける可能性があります。
|
遠隔の攻撃者によって、当該製品上の任意のファイルにアクセスされたり、root 権限で操作されたりする可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者は、本脆弱性の対策版としてファームウェアバージョン 3.4.1.105 をリリースしています。
|
Seagate Technology LLC
|
- その他(CWE-Other) [IPA評価]
- 証明書・パスワードの管理(CWE-255) [NVD評価]
- パス・トラバーサル(CWE-22) [NVD評価]
|
- CVE-2015-2874
- CVE-2015-2875
- CVE-2015-2876
|
- JVN : JVNVU#92833570
- National Vulnerability Database (NVD) : CVE-2015-2874
- National Vulnerability Database (NVD) : CVE-2015-2875
- National Vulnerability Database (NVD) : CVE-2015-2876
- US-CERT Vulnerability Note : VU#903500
- US-CERT Vulnerability Note : LaCie Information for VU#903500
- US-CERT Vulnerability Note : Seagate Technology LLC Information for VU#903500
|
- [2015年12月28日]
掲載
[2016年01月14日]
概要:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
影響を受けるシステム:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2015-2874) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2015-2875) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2015-2876) を追加
参考情報:US-CERT Vulnerability Note (Seagate Technology LLC Information for VU#903500) を追加
参考情報:US-CERT Vulnerability Note (LaCie Information for VU#903500) を追加
|