公開日:2010/01/05 最終更新日:2010/05/21

JVNVU#571629
Linear eMerge のマネージメントコンポーネントにおけるサービス運用妨害 (DoS)

概要

Linear eMerge のマネージメントコンポーネントには、認証されていない第三者によって工場出荷時の設定にリセットされる可能性があるという問題が存在します。

影響を受けるシステム

  • Linear eMerge Software Version 2.5.x

詳細情報

Linear eMerge は、IP 化された物理セキュリティ管理用のシステムです。Linear eMerge は、管理者がウェブブラウザ経由でシステム設定の変更を行うためのマネージメントコンポーネントと、建物のセキュリティ機器 (錠、カードリーダー、エレベーターのボタン、モーションセンサー等) などのノードコンポーネントから構成されています。

eMerge のマネージメントコンポーネントには、細工された URI を認証されていない第三者がアクセスすることにより、工場出荷時の設定にリセットされる可能性があるという問題が存在します。設定がリセットされるとマネージメントコンポーネントはネットワークから切り離されますが、ノードコンポーネントは個々に動作を続けます。

なお、マネージメントコンポーネントは、毎日自動で作成されているデータベースのバックアップから復旧させることが可能です。

想定される影響

第三者が細工した特定の URI にアクセスすることにより、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、DoS 攻撃を受けた場合でもノードコンポーネントは個々に動作を続けます。

対策方法

アップデートする
ベンダへ問い合わせの上、アップデートを行ってください。

ベンダ情報

ベンダ リンク
Linear LLC Linear LLC
Contact Linear LLC
S2 Security S2 Security

参考情報

  1. US-CERT Vulnerability Note VU#571629
    S2 Security Linear eMerge Access Control System management component vulnerable to unauthenticated factory reset

JPCERT/CCからの補足情報

VU#571629 によると、Linear eMerge は、Linear LLC によって配布されており、製造は S2 Security Corporation が行っているとされています。

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-3734
JVN iPedia JVNDB-2010-001003

更新履歴

2010/01/05
概要、詳細情報の更新および影響を受けるシステムの誤植を修正しました。
2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。