公開日:2008/06/11 最終更新日:2015/10/21
JVNTA08-162A
SNMPv3 における認証回避の脆弱性
緊急
SNMPv3 には、細工されたパケットを処理することで認証回避される脆弱性が存在します。
- Net-SNMP 5.4.1, 5.3.2, 5.2.4, 5.1.4, 5.0.11
- UCD-SNMP 4.2.7
また、Net-SNMP や UCD-SNMP を使用している製品も影響を受ける可能性があります。
SNMP (Simple Network Management Protocol) は、ネットワークデバイスの監視や管理のために広く使用されているプロトコルです。SNMPv3 は、認証やプライバシコントロールといったセキュリティ機能をサポートしています。
SNMPv3 の実装によっては、認証処理に脆弱性があるため細工されたパケットを処理することで認証が回避されてしまう可能性が存在します。
遠隔の第三者によって SNMP オブジェクトを読まれたり変更されたりする可能性があります。
アップデートする
各開発元より提供されている最新バージョンへアップデートしてください。
| ベンダ | リンク |
| Net-SNMP | SECURITY RELEASE: Multiple Net-SNMP Versions Released |
| CISCO | Cisco Security Advisory SNMP Version 3 Authentication Vulnerabilities |
| Redhat | Moderate: ucd-snmp security update |
| 富士通 | TA08-162Aに対する富士通の情報 |
| 株式会社インターネットイニシアティブ | Net-SNMP SNMPv3 USM 認証処理の脆弱性 |
-
JVNVU#878044
SNMPv3 実装の不適切な HMAC 処理による認証回避の脆弱性 -
US-CERT Vulnerability Note VU#878044
SNMPv3 improper HMAC validation allows authentication bypass
| JPCERT 緊急報告 |
JPCERT-AT-2008-0011 SNMPv3 を実装した複数製品の認証回避の脆弱性に関する注意喚起 |
| JPCERT REPORT | |
| CERT Advisory |
Technical Cyber Security Alert TA08-162A SNMPv3 Authentication Bypass Vulnerability |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2008-0960 VU#878044 |
| JVN iPedia |
- 2008/06/12
- ベンダ情報:富士通の情報を追加しました。
- 2008/06/17
- CVE 番号を修正しました。
- 2008/06/19
- 株式会社インターネットイニシアティブの情報を追加しました。
- 2008/06/19
- ベンダ情報:株式会社インターネットイニシアティブの情報を追加しました。
- 2015/10/21
- ベンダ情報を更新しました
