公開日:2012/03/21 最終更新日:2012/03/21

JVNVU#913483
テープライブラリに複数の問題

概要

Quantum Scalar i500、Dell ML6000 および IBM TS3310 には、複数の脆弱性が存在します。

影響を受けるシステム

  • Quantum Scalar i500 i7.0.3 (604G.GS00100) より前のバージョン
  • Dell ML6000 A20-00 (590G.GS00100) より前のバージョン
  • IBM TS3310 R6C (606G.GS001) より前のバージョン

詳細情報

Quantum Scalar i500、Dell ML6000 および IBM TS3310 のウェブインターフェースには、ファイルやディレクトリに外部から接続できる脆弱性、クロスサイトスクリプティングの脆弱性、クロスサイトリクエストフォージェリの脆弱性が存在します。
また、それらの製品には、あらかじめ特定のパスワードを持つアカウントが設定されている問題が存在します。

想定される影響

想定される影響は各脆弱性により異なりますが、任意のコードを実行されたり、情報が漏えいしたりする可能性があります。

VU#913483 によると、ライブラリ内のテープに書きこまれている情報は取得されないと報告を受けているとのことです。

対策方法

アップデートする
開発者の提供する情報をもとに、ファームウェアをアップデートしてください。

ワークアラウンドを実施する
アップデートを適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • アクセスを制限する

ベンダ情報

ベンダ リンク
Quantum Midrange Company Tape Library - Scalar i500 - Support and Services
DELL Welcome to Dell Technical Support
IBM IBM Support: Fix Central

参考情報

  1. US-CERT Vulnerability Note VU#913483
    Quantum Scalar i500, Dell ML6000 and IBM TS3310 tape libraries web interface and preconfigured password vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia