|
[English]
|
JVNDB-2023-025113
|
バッファロー製 LinkStation 200 シリーズにおける任意コード実行の脆弱性
|
|
株式会社バッファローが提供する LinkStation 200 シリーズは、ネットワーク対応 HDD(NAS)です。
LinkStation 200 シリーズには、ファームウェアアップデート時にダウンロードしたデータの完全性検証が十分に行われないことにより、システム上で不正なコードを実行させられる脆弱性(CWE-354、CVE-2023-51073)が存在します。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
|
|
|
バッファロー
- LS210D ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS210DC ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS210DG ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS210DN ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS210DNB ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220D ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220DB ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220DC ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220DG ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220DN ファームウェア Ver. 1.80 およびそれ以前のバージョン
- LS220DNB ファームウェア Ver. 1.80 およびそれ以前のバージョン
|
影響を受ける製品は広範囲に及びます。詳細は製品開発者が提供する情報を確認してください。
|
|
中間者攻撃 (man-in-the-middle attack) を実行可能な攻撃者によって、root ユーザの権限で任意のコードを実行される可能性があります。
[分析結果のコメント]
不正なファームウェアデータをダウンロードおよび実行させられることを一次被害として評価しています。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
|
|
バッファロー
|
|
- データの整合性検証不備(CWE-354) [その他]
|
|
- CVE-2023-51073
|
|
- JVN : JVNVU#90953541
- National Vulnerability Database (NVD) : CVE-2023-51073
- 関連文書 : github.com (CVE-2023-51073)
- 関連文書 : www.buffalotech.com
|
|
- [2024年02月02日]
掲載
- [2024年03月25日]
JVNVU の内容に合わせて全体を更新
|
