JVNDB-2017-001176
|
SHDesigns Resident Download Manager がファームウエアを検証しない問題
|
|
SHDesigns の Resident Download Manager および Ethernet Download Manager には、ダウンロードしたファームウエアをデバイスに適用する前に検証しない問題が存在します。
SHDesigns の Resident Download Manager は Rabbit 2000/3000 CPU ボード向けアップデート機能を提供しており、発見者によると、組込系アプリケーションや制御系システムで使用されている可能性があるとのことです。
Resident Download Manager および Ethernet Download Manager には、ダウンロードしたファームウエアをデバイスに適用する前に検証しない問題が存在します。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 9.3 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
SHDesigns
- Ethernet Download Manager
- Resident Download Manager
|
開発者のウェブサイトにある記載によると、Resident Download Manager および関連する Rabbit Tools は、2011年6月をもって製造販売を終了しているとのことです。
|
|
当該製品が動作している機器に UDP トラフィックを送信可能な攻撃者によって、デバイス上で任意のコードを実行される可能性があります。
|
|
2017年2月1日現在、本脆弱性に対する有効な対策方法はありません。
[ワークアラウンドを実施する]
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* ダウンロードファイルの完全性検証機能を独自に追加する
* ネットワークを使用したアップデート機能を無効にする
|
|
SHDesigns
|
|
- ダウンロードしたコードの完全性検証不備(CWE-494) [IPA評価]
|
|
- CVE-2016-6567
|
|
- JVN : JVNVU#95305501
- National Vulnerability Database (NVD) : CVE-2016-6567
- US-CERT Vulnerability Note : VU#167623
- 関連文書 : Rabbit Processor Products
|
|
- [2017年02月02日]
掲載
- [2019年07月11日]
参考情報:National Vulnerability Database (NVD) (CVE-2016-6567) を追加
|
