NEC製セキュアプライアンスに複数脆弱性 - 3月の更新で修正済み
NECプラットフォームズが提供する中小企業向けセキュリティアプライアンス「Aterm SA3500G」に複数の脆弱性が含まれていることがわかった。脆弱性に対処したアップデートを3月にリリースしており、同バージョン以降へ更新するよう呼びかけている。
同製品のファームウェアに「OSコマンドインジェクション」の脆弱性「CVE-2020-5635」「CVE-2020-5636」や、ダウンロードファイルにおける検証不備の脆弱性「CVE-2020-5637」などが明らかとなったもの。
3件の脆弱性のうち、「CVE-2020-5635」については、共通脆弱性評価システム「CVSSv3」のベーススコアが「8.8」ともっとも高く、同製品へアクセスできる第三者によって、細工されたリクエストにより任意のコマンドを実行されるおそれがある。
他脆弱性は、悪用にあたって管理ページにログインする必要があり、CVSS値はいずれも「6.8」とレーティングされている。
「CVE-2020-5635」はラックの吉越舟氏、「CVE-2020-5636」「CVE-2020-5637」についてはラックの平井成海氏が3月に情報処理推進機構(IPA)へ報告したものでJPCERTコーディネーションセンターが調整を実施した。
同社は3月31日にリリースしたファームウェア「バージョン3.5.12」にてこれら脆弱性を修正しており、同バージョン以降を利用するよう呼びかけている。
(Security NEXT - 2020/12/11 )
ツイート
PR
関連記事
「LogStare Collector」に複数の脆弱性 - 最新版へ更新を
「Apache Syncope」に脆弱性 - 内部DB構成でPW特定のおそれ
IT資産管理製品「MaLion」のWindows向けエージェントに深刻な脆弱性
Progress製DB接続ドライバ「DataDirect」に複数の脆弱性
「NVIDIA DGX Spark」に複数脆弱性 - 重要度「クリティカル」も
「Azure Bastion」「SharePoint Online」に深刻な脆弱性 - すでに修正済み
「SonicWall Email Security」に複数脆弱性 - アップデートが公開
「Oracle Fusion Middleware」の脆弱性悪用に注意喚起 - 米当局
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ
DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も
