[English]
|
JVNDB-2016-000168
|
FlashAir におけるアクセス制限不備の脆弱性
|
株式会社東芝が提供する FlashAir は、無線 LAN 接続機能を搭載した SDHC メモリカードです。FlashAir の初期設定では、インターネット同時接続機能を有効にした場合、STA 側 LAN (FlashAir が他のアクセスポイントに接続する側) から認証なしで接続可能な脆弱性が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: シーソフト 塚田将久 氏
|
|
CVSS v3 による深刻度 基本値: 5.0 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度 基本値: 5.4 (警告) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
東芝
- FlashAir SD-WD/WC シリーズ Class 10 モデル W-02 ファームウェアバージョン 2.00.02 およびそれ以降
- FlashAir SD-WD/WC シリーズ Class 6 モデル ファームウェアバージョン 1.00.04 およびそれ以降
- FlashAir SD-WE シリーズ Class 10 モデル W-03
|
|
当該製品が接続する STA 側 LAN にアクセス可能な第三者によって、当該製品に記録されているファイルやデータを取得される可能性があります。また、FlashAir Class 10 SD-WE シリーズ W-03 で認証に関する設定を追加せずに WebDAV によるアクセスとファイルアップロードを許可するよう設定している場合、当該製品に記録されているファイルやデータを改ざんされたり、任意の Lua スクリプトを実行されたりする可能性があります。
|
[認証設定を追加する]
インターネット同時接続機能を有効にする前に、FlashAir のウェブサーバへの接続時に認証を要求するよう設定してください。FlashAir の API には、次の項目が用意されています。
・HTTPDMODE -- 認証方法
・HTTPDPASS -- Basic 認証のパスワード、Digest 認証のハッシュ値
詳しくは、開発者が提供する情報をご確認ください。
|
東芝
|
- 認可・権限・アクセス制御(CWE-264) [IPA評価]
|
- CVE-2016-4863
|
- JVN : JVN#39619137
- National Vulnerability Database (NVD) : CVE-2016-4863
|
- [2016年09月27日]
掲載
[2016年10月11日]
概要:内容を更新
想定される影響:内容を更新
[2017年11月27日]
参考情報:National Vulnerability Database (NVD) (CVE-2016-4863) を追加
|