2016.06.29(水)

統合ネットワーク管理ソフト「Netgear NMS300」に未対応の脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月4日、SNMPを使用するネットワーク機器をWebインタフェースで設定、監視、診断するための統合ネットワーク管理ソフトウェアである「Netgear NMS300」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは8.8。

「Netgear ProSAFE Network Management System NMS300 version 1.5.0.11 およびそれ以前」には、危険なタイプのファイルの無制限アップロード(CVE-2016-1524)およびディレクトリトラバーサル(CVE-2016-1525)の脆弱性が存在する。

これらの脆弱性が悪用されると、同一ネットワーク上の攻撃者によって、認証なしでサーバのWeb root上に任意のファイルをアップロードされ、データを作成されたり、SYSTEM権限で任意のコードを実行される可能性がある。また、認証済みの攻撃者によって、サーバのローカル上に存在する任意のファイルにアクセスされる可能性もある。

現在のところ、JPCERT/CCではこれらの問題を解決する現実的な方法を把握していないが、信頼できないネットワークからWeb管理画面へのアクセスを制限するよう、ファイアウォールのルールを設定することで、脆弱性の影響を軽減できるとしている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. ガンホーゲームズを騙るメールに注意、本文に“流失”のミス(フィッシング対策協議会)

    ガンホーゲームズを騙るメールに注意、本文に“流失”のミス(フィッシング対策協議会)

  2. 複数の「ひかり電話ルータ」および「ひかり電話対応機器」に重大な脆弱性(JVN)

    複数の「ひかり電話ルータ」および「ひかり電話対応機器」に重大な脆弱性(JVN)

  3. NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

    NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

  4. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  5. Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

  6. 「Apache Struts 2」に深刻な脆弱性、バージョンアップを強く推奨(ラック)

  7. 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)

  8. OS Xなどで使用される「mDNSResponder」に複数の脆弱性(JVN)

  9. 「ntpd」に複数の脆弱性、アップデートを呼びかけ(JVN)

  10. コレガ製の複数の無線LANルータに脆弱性(JVN)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×