- プロダクト・サービス
- ドキュメント
- ダウンロード
- 販売・レンタル
- サポート情報
Webインタフェース機能有効時に攻撃を受ける可能性
2009/02/04
Webインタフェース機能有効時に以下の攻撃を受ける可能性があります。
特定のページへのHTTPリクエストを繰り返すことによるサービス不能攻撃
認証時にブルートフォースアタック(総当たり攻撃)によるパスワードの奪取
クロスサイトスクリプティング攻撃による任意のスクリプトの実行
バッファオーバーフローを用いることによる任意のコードの実行(CVE-2003-0899)
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン | 1 | 2 | 3 | 4 |
|---|---|---|---|---|---|
| SEIL/X1 | 1.00 - 1.43 | - | - | - | 該当 |
| SEIL/X2 | 1.00 - 1.43 | - | - | - | 該当 |
| SEIL/Turbo | 1.00 - 1.98 | 該当 | 該当 | - | - |
| SEIL/neu 2FE Plus | 1.00 - 1.98 | 該当 | 該当 | 該当 | - |
| SEIL/neu 128 | 2.00 - 2.46 | 該当 | 該当 | - | - |
特定のページへのHTTPリクエストを繰り返すことによるサービス不能攻撃
特定のページへのHTTPリクエストを大量に受信すると、一部の機能が使用不可能な状態に陥ります。 この場合、SEILの再起動を行うまで使用不可能な状態が継続する可能性があります。
認証時にブルートフォースアタック(総当たり攻撃)によるパスワードの奪取
Webインタフェースの認証に対してブルートフォースアタックが行われた場合、SEILのパスワードが奪取される可能性があります。
クロスサイトスクリプティング攻撃による任意のスクリプトの実行
攻撃サイトを閲覧することによって利用者のブラウザ上で任意のスクリプトが実行される可能性があります。
バッファオーバーフローを用いることによる任意のコードの実行(CVE-2003-0899 [1])
リモートの攻撃者によってSEIL上で任意のコードが実行される可能性があります。
本脆弱性を修正したファームウェアをリリースしました。
下記のバージョン以降への早急な変更を推奨します。
| 機種 | バージョン |
|---|---|
| SEIL/X1 | 1.44 |
| SEIL/X2 | 1.44 |
| SEIL/Turbo | 1.99 |
| SEIL/neu 2FE Plus | 1.99 |
| SEIL/neu 128 | 2.47 |
Webインタフェース機能を無効にする
Webインタフェースによる設定を以下のコマンドを実行することで無効にする。
httpd disableCommon Vulnerabilities and Exposures (CVE) CVE-2003-0899