【活用ガイド】

[English]

JVNDB-2018-000124

RICOH Interactive Whiteboard における複数の脆弱性

概要

株式会社リコーが提供する RICOH Interactive Whiteboard には、次の複数の脆弱性が存在します。
・コマンドインジェクション (CWE-94) - CVE-2018-16184
・ファイル署名不備 - CVE-2018-16185
・管理者用パスワードに関する問題 - CVE-2018-16186
・サーバ証明書が自己署名証明書である問題 - CVE-2018-16187
・SQL インジェクション (CWE-89) - CVE-2018-16188

この脆弱性情報は、製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2018-16184の評価になります。


CVSS v3 による深刻度
基本値: 5.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.1 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
※上記は、CVE-2018-16185の評価になります。


CVSS v3 による深刻度
基本値: 8.4 (重要) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.2 (危険) [IPA値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2018-16186の評価になります。


CVSS v3 による深刻度
基本値: 4.8 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.0 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
※上記は、CVE-2018-16187の評価になります。


CVSS v3 による深刻度
基本値: 9.8 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
※上記は、CVE-2018-16188の評価になります。
影響を受けるシステム


リコー
  • RICOH Interactive Whiteboard D2200
  • RICOH Interactive Whiteboard D5500
  • RICOH Interactive Whiteboard D5510
  • RICOH Interactive Whiteboard D5520
  • RICOH Interactive Whiteboard D6500
  • RICOH Interactive Whiteboard D6510
  • RICOH Interactive Whiteboard D7500
  • RICOH Interactive Whiteboard D8400

影響を受けるシステムは各脆弱性により異なります。詳細は以下を参照ください。

CVE-2018-16184
 ・RICOH Interactive Whiteboard D2200 V1.6 から V2.2 まで
 ・RICOH Interactive Whiteboard D5500 V1.6 から V2.2 まで
 ・RICOH Interactive Whiteboard D5510 V1.6 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.6 から V2.2 までを搭載した次のディスプレイ製品
 ・RICOH Interactive Whiteboard D5520
 ・RICOH Interactive Whiteboard D6500
 ・RICOH Interactive Whiteboard D6510
 ・RICOH Interactive Whiteboard D7500
 ・RICOH Interactive Whiteboard D8400

CVE-2018-16185, CVE-2018-16186
 ・RICOH Interactive Whiteboard D2200 V1.1 から V2.2 まで
 ・RICOH Interactive Whiteboard D5500 V1.1 から V2.2 まで
 ・RICOH Interactive Whiteboard D5510 V1.1 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.1 から V2.2 までを搭載した次のディスプレイ製品
 ・RICOH Interactive Whiteboard D5520
 ・RICOH Interactive Whiteboard D6500
 ・RICOH Interactive Whiteboard D6510
 ・RICOH Interactive Whiteboard D7500
 ・RICOH Interactive Whiteboard D8400
RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1.10137.0 までを搭載した次のディスプレイ製品
 ・RICOH Interactive Whiteboard D5520
 ・RICOH Interactive Whiteboard D6510
 ・RICOH Interactive Whiteboard D7500
 ・RICOH Interactive Whiteboard D8400

CVE-2018-16187, CVE-2018-16188
 ・RICOH Interactive Whiteboard D2200 V1.3 から V2.2 まで
 ・RICOH Interactive Whiteboard D5500 V1.3 から V2.2 まで
 ・RICOH Interactive Whiteboard D5510 V1.3 から V2.2 まで
RICOH Interactive Whiteboard Controller Type1 V1.3 から V2.2 までを搭載した次のディスプレイ製品
 ・RICOH Interactive Whiteboard D5520
 ・RICOH Interactive Whiteboard D6500
 ・RICOH Interactive Whiteboard D6510
 ・RICOH Interactive Whiteboard D7500
 ・RICOH Interactive Whiteboard D8400
RICOH Interactive Whiteboard Controller Type2 V3.0 から V3.1.10137.0 までを搭載した次のディスプレイ製品
 ・RICOH Interactive Whiteboard D5520
 ・RICOH Interactive Whiteboard D6510
 ・RICOH Interactive Whiteboard D7500
 ・RICOH Interactive Whiteboard D8400
想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・遠隔の第三者によって、管理者権限で任意のコマンドを実行される - CVE-2018-16184
・遠隔の第三者によって、改ざんされたプログラムを実行される - CVE-2018-16185
・管理者設定画面にログインされ、設定を変更される - CVE-2018-16186
・中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる - CVE-2018-16187
・遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする - CVE-2018-16188
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報

リコー
CWEによる脆弱性タイプ一覧  CWEとは?

  1. コード・インジェクション(CWE-94) [IPA評価]
  2. その他(CWE-Other) [IPA評価]
  3. SQLインジェクション(CWE-89) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-16184
  2. CVE-2018-16185
  3. CVE-2018-16186
  4. CVE-2018-16187
  5. CVE-2018-16188
参考情報

  1. JVN : JVN#55263945
  2. National Vulnerability Database (NVD) : CVE-2018-16184
  3. National Vulnerability Database (NVD) : CVE-2018-16185
  4. National Vulnerability Database (NVD) : CVE-2018-16186
  5. National Vulnerability Database (NVD) : CVE-2018-16187
  6. National Vulnerability Database (NVD) : CVE-2018-16188
更新履歴

  • [2018年11月27日]
      掲載
  • [2018年12月07日]
      [影響を受けるシステム] の情報を更新しました
  • [2019年08月27日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-16184) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-16185) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-16186) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-16187) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2018-16188) を追加