NEC製セキュアプライアンスに複数脆弱性 - 3月の更新で修正済み
NECプラットフォームズが提供する中小企業向けセキュリティアプライアンス「Aterm SA3500G」に複数の脆弱性が含まれていることがわかった。脆弱性に対処したアップデートを3月にリリースしており、同バージョン以降へ更新するよう呼びかけている。
同製品のファームウェアに「OSコマンドインジェクション」の脆弱性「CVE-2020-5635」「CVE-2020-5636」や、ダウンロードファイルにおける検証不備の脆弱性「CVE-2020-5637」などが明らかとなったもの。
3件の脆弱性のうち、「CVE-2020-5635」については、共通脆弱性評価システム「CVSSv3」のベーススコアが「8.8」ともっとも高く、同製品へアクセスできる第三者によって、細工されたリクエストにより任意のコマンドを実行されるおそれがある。
他脆弱性は、悪用にあたって管理ページにログインする必要があり、CVSS値はいずれも「6.8」とレーティングされている。
「CVE-2020-5635」はラックの吉越舟氏、「CVE-2020-5636」「CVE-2020-5637」についてはラックの平井成海氏が3月に情報処理推進機構(IPA)へ報告したものでJPCERTコーディネーションセンターが調整を実施した。
同社は3月31日にリリースしたファームウェア「バージョン3.5.12」にてこれら脆弱性を修正しており、同バージョン以降を利用するよう呼びかけている。
(Security NEXT - 2020/12/11 )
ツイート
PR
関連記事
開発ツール「GitLab」にセキュリティ更新 - 脆弱性12件を修正
「IBM Verify Identity Access」に脆弱性 - アップデート実施を
米当局、「Ivanti EPMM」脆弱性の悪用で米行政機関へ緊急対応を要請
「SonicWall SMA1000」に権限昇格など複数脆弱性 - 修正版を公開
「SonicWall Email Security」に複数脆弱性 - アップデートを呼びかけ
「Movable Type」に深刻な脆弱性、アップデート公開 - EOL版にも影響
「OpenSSL」にセキュリティアップデート - 脆弱性7件を修正
「NVIDIA Triton Inference Server」に複数のDoS脆弱性
「Docker Engine」に複数の脆弱性 - 権限昇格や認可回避など修正
セキュリティアップデート「Firefox 149.0.2」公開 - Mozilla
