2016.07.30(土)

統合ネットワーク管理ソフト「Netgear NMS300」に未対応の脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月4日、SNMPを使用するネットワーク機器をWebインタフェースで設定、監視、診断するための統合ネットワーク管理ソフトウェアである「Netgear NMS300」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは8.8。

「Netgear ProSAFE Network Management System NMS300 version 1.5.0.11 およびそれ以前」には、危険なタイプのファイルの無制限アップロード(CVE-2016-1524)およびディレクトリトラバーサル(CVE-2016-1525)の脆弱性が存在する。

これらの脆弱性が悪用されると、同一ネットワーク上の攻撃者によって、認証なしでサーバのWeb root上に任意のファイルをアップロードされ、データを作成されたり、SYSTEM権限で任意のコードを実行される可能性がある。また、認証済みの攻撃者によって、サーバのローカル上に存在する任意のファイルにアクセスされる可能性もある。

現在のところ、JPCERT/CCではこれらの問題を解決する現実的な方法を把握していないが、信頼できないネットワークからWeb管理画面へのアクセスを制限するよう、ファイアウォールのルールを設定することで、脆弱性の影響を軽減できるとしている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

    政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  2. 「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

    「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

  3. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

    Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  4. GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性

  5. Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  6. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  7. テレビ会議システム「LifeSize Room」に複数の脆弱性(JVN)

  8. 復活した「Locky」の標的は日本?! ランサムウェア最新情報まとめ

  9. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  10. NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×