JVNDB-2010-001003
|
Linear eMerge のマネージメントコンポーネントにおけるサービス運用妨害 (DoS)
|
|
Linear eMerge のマネージメントコンポーネントには、認証されていない第三者によって工場出荷時の設定にリセットされる可能性があるという問題が存在します。
Linear eMerge は、IP 化された物理セキュリティ管理用のシステムです。Linear eMerge は、管理者がウェブブラウザ経由でシステム設定の変更を行うためのマネージメントコンポーネントと、建物のセキュリティ機器 (錠、カードリーダー、エレベーターのボタン、モーションセンサー等) などのノードコンポーネントから構成されています。
eMerge のマネージメントコンポーネントには、細工された URI を認証されていない第三者がアクセスすることにより、工場出荷時の設定にリセットされる可能性があるという問題が存在します。設定がリセットされるとマネージメントコンポーネントはネットワークから切り離されますが、ノードコンポーネントは個々に動作を続けます。
なお、マネージメントコンポーネントは、毎日自動で作成されているデータベースのバックアップから復旧させることが可能です。
VU#571629 によると、Linear eMerge は、Linear LLC によって配布されており、製造は S2 Security Corporation が行っているとされています。
|
|
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
Linear LLC
- Linear eMerge Software Version 2.5.x
S2 Security
- Linear eMerge Software Version 2.5.x
|
VU#571629 によると、Linear eMerge は、Linear LLC によって配布されており、製造は S2 Security Corporation が行っているとされています。
|
|
第三者が細工した特定の URI にアクセスすることにより、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、DoS 攻撃を受けた場合でもノードコンポーネントは個々に動作を続けます。
|
|
[アップデートする]
ベンダへ問い合わせの上、アップデートを行ってください。
|
|
Linear LLC
S2 Security
|
|
- 情報不足(CWE-noinfo) [NVD評価]
|
|
- CVE-2009-3734
|
|
- JVN : JVNVU#571629
- National Vulnerability Database (NVD) : CVE-2009-3734
- US-CERT Vulnerability Note : VU#571629
|
|
|
