|
[English]
|
JVNDB-2018-000124
|
RICOH Interactive Whiteboard における複数の脆弱性
|
|
株式会社リコーが提供する RICOH Interactive Whiteboard には、次の複数の脆弱性が存在します。
・コマンドインジェクション (CWE-94) - CVE-2018-16184
・ファイル署名不備 - CVE-2018-16185
・管理者用パスワードに関する問題 - CVE-2018-16186
・サーバ証明書が自己署名証明書である問題 - CVE-2018-16187
・SQL インジェクション (CWE-89) - CVE-2018-16188
この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
※上記は、CVE-2018-16184の評価になります。
|
CVSS v3 による深刻度
基本値:
5.0 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): 低
CVSS v2 による深刻度基本値:
5.1 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): 部分的
-
可用性への影響(A): 部分的
※上記は、CVE-2018-16185の評価になります。
|
CVSS v3 による深刻度
基本値:
8.4 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
CVSS v2 による深刻度基本値:
7.2 (危険)
[IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 全面的
-
完全性への影響(I): 全面的
-
可用性への影響(A): 全面的
※上記は、CVE-2018-16186の評価になります。
|
CVSS v3 による深刻度
基本値:
4.8 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2018-16187の評価になります。
|
CVSS v3 による深刻度
基本値:
9.8 (緊急) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
CVSS v2 による深刻度基本値:
10.0 (危険)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 全面的
-
完全性への影響(I): 全面的
-
可用性への影響(A): 全面的
※上記は、CVE-2018-16188の評価になります。
|
|
|
リコー
- RICOH Interactive Whiteboard D2200
- RICOH Interactive Whiteboard D5500
- RICOH Interactive Whiteboard D5510
- RICOH Interactive Whiteboard D5520
- RICOH Interactive Whiteboard D6500
- RICOH Interactive Whiteboard D6510
- RICOH Interactive Whiteboard D7500
- RICOH Interactive Whiteboard D8400
|
影響を受けるシステムは各脆弱性により異なります。詳細は以下を参照ください。
CVE-2018-16184
・RICOH Interactive Whiteboard D2200 V1.6 から V2.2 まで
・RICOH Interactive Whiteboard D5500 V1.6 から V2.2 まで
・RICOH Interactive Whiteboard D5510 V1.6 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.6 から V2.2 までを搭載した次のディスプレイ製品
・RICOH Interactive Whiteboard D5520
・RICOH Interactive Whiteboard D6500
・RICOH Interactive Whiteboard D6510
・RICOH Interactive Whiteboard D7500
・RICOH Interactive Whiteboard D8400
CVE-2018-16185, CVE-2018-16186
・RICOH Interactive Whiteboard D2200 V1.1 から V2.2 まで
・RICOH Interactive Whiteboard D5500 V1.1 から V2.2 まで
・RICOH Interactive Whiteboard D5510 V1.1 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.1 から V2.2 までを搭載した次のディスプレイ製品
・RICOH Interactive Whiteboard D5520
・RICOH Interactive Whiteboard D6500
・RICOH Interactive Whiteboard D6510
・RICOH Interactive Whiteboard D7500
・RICOH Interactive Whiteboard D8400
RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1.10137.0 までを搭載した次のディスプレイ製品
・RICOH Interactive Whiteboard D5520
・RICOH Interactive Whiteboard D6510
・RICOH Interactive Whiteboard D7500
・RICOH Interactive Whiteboard D8400
CVE-2018-16187, CVE-2018-16188
・RICOH Interactive Whiteboard D2200 V1.3 から V2.2 まで
・RICOH Interactive Whiteboard D5500 V1.3 から V2.2 まで
・RICOH Interactive Whiteboard D5510 V1.3 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.3 から V2.2 までを搭載した次のディスプレイ製品
・RICOH Interactive Whiteboard D5520
・RICOH Interactive Whiteboard D6500
・RICOH Interactive Whiteboard D6510
・RICOH Interactive Whiteboard D7500
・RICOH Interactive Whiteboard D8400
RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1.10137.0 までを搭載した次のディスプレイ製品
・RICOH Interactive Whiteboard D5520
・RICOH Interactive Whiteboard D6510
・RICOH Interactive Whiteboard D7500
・RICOH Interactive Whiteboard D8400
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・遠隔の第三者によって、管理者権限で任意のコマンドを実行される - CVE-2018-16184
・遠隔の第三者によって、改ざんされたプログラムを実行される - CVE-2018-16185
・管理者設定画面にログインされ、設定を変更される - CVE-2018-16186
・中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる - CVE-2018-16187
・遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする - CVE-2018-16188
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
|
|
リコー
|
|
- コード・インジェクション(CWE-94) [IPA評価]
- その他(CWE-Other) [IPA評価]
- SQLインジェクション(CWE-89) [IPA評価]
|
|
- CVE-2018-16184
- CVE-2018-16185
- CVE-2018-16186
- CVE-2018-16187
- CVE-2018-16188
|
|
- JVN : JVN#55263945
- National Vulnerability Database (NVD) : CVE-2018-16184
- National Vulnerability Database (NVD) : CVE-2018-16185
- National Vulnerability Database (NVD) : CVE-2018-16186
- National Vulnerability Database (NVD) : CVE-2018-16187
- National Vulnerability Database (NVD) : CVE-2018-16188
|
|
- [2018年11月27日]
掲載
- [2018年12月07日]
[影響を受けるシステム] の情報を更新しました
- [2019年08月27日]
参考情報:National Vulnerability Database (NVD) (CVE-2018-16184) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-16185) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-16186) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-16187) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2018-16188) を追加
|
