JVNDB-2010-001731
|
Cisco Industrial Ethernet 3000 シリーズに SNMP Community String がハードコードされている問題
|
|
Cisco が提供する Cisco Industrial Ethernet 3000 シリーズに設定されている SNMP Community String は、遠隔の第三者に使用される可能性があります。
Cisco IOS Software リリース 12.2(52)SE または 12.2(52)SE1 を使用している Cisco Industrial Ethernet 3000 シリーズは、SNMP Community String がハードコードされています。また、該当製品を再起動すると、ハードコードされた値が再度設定されます。
なお、SNMP サービスは、デフォルトで無効になっています。
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
シスコシステムズ
- Cisco IOS 12.2 (52)SE
- Cisco IOS 12.2 (52)SE1
- Cisco IOS 12.2 (55)SE
- Cisco Industrial Ethernet 3000 シリーズ
|
|
|
SNMP Community String を変更していない状態で Cisco Industrial Ethernet 3000 シリーズの運用を行っている場合、遠隔の第三者によって、該当製品の設定を変更される可能性があります。
|
|
[アップデートする]
Cisco が提供する情報をもとに Cisco IOS を最新版へアップデートしてください。
なお、Cisco によると、修正版となる Cisco IOS リリース 12.2(55)SE は、2010年8月にリリースされる予定です。
[ワークアラウンドを実施する]
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。
* SNMP Community String を無効にする
詳細については、Cisco が提供する情報を参照してください
|
|
シスコシステムズ
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2010-1574
|
|
- JVN : JVNVU#732671
- National Vulnerability Database (NVD) : CVE-2010-1574
- US-CERT Vulnerability Note : VU#732671
- Secunia Advisory : SA40407
- SecurityFocus : 41436
- ISS X-Force Database : 60145
- SecurityTracker : 1024173
- VUPEN Security : VUPEN/ADV-2010-1754
- OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 66120
|
|
- [2010年07月27日]
掲載
[2010年09月29日]
影響を受けるシステム:シスコシステムズ (OL23061) の情報を追加
ベンダ情報:シスコシステムズ (OL23061) を追加
ベンダ情報:シスコシステムズ (PB 614546) の情報を追加
|
