公開日:2012/03/21 最終更新日:2012/03/21
JVNVU#913483
テープライブラリに複数の問題
Quantum Scalar i500、Dell ML6000 および IBM TS3310 には、複数の脆弱性が存在します。
- Quantum Scalar i500 i7.0.3 (604G.GS00100) より前のバージョン
- Dell ML6000 A20-00 (590G.GS00100) より前のバージョン
- IBM TS3310 R6C (606G.GS001) より前のバージョン
Quantum Scalar i500、Dell ML6000 および IBM TS3310 のウェブインターフェースには、ファイルやディレクトリに外部から接続できる脆弱性、クロスサイトスクリプティングの脆弱性、クロスサイトリクエストフォージェリの脆弱性が存在します。
また、それらの製品には、あらかじめ特定のパスワードを持つアカウントが設定されている問題が存在します。
想定される影響は各脆弱性により異なりますが、任意のコードを実行されたり、情報が漏えいしたりする可能性があります。
VU#913483 によると、ライブラリ内のテープに書きこまれている情報は取得されないと報告を受けているとのことです。
アップデートする
開発者の提供する情報をもとに、ファームウェアをアップデートしてください。
ワークアラウンドを実施する
アップデートを適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- アクセスを制限する
-
US-CERT Vulnerability Note VU#913483
Quantum Scalar i500, Dell ML6000 and IBM TS3310 tape libraries web interface and preconfigured password vulnerabilities