公開日:2008/06/11 最終更新日:2016/11/08
JVNVU#878044
SNMPv3 実装の不適切な HMAC 処理による認証回避の脆弱性
緊急
SNMPv3 の実装には、細工されたパケットを適切に処理しないため認証回避の脆弱性が存在します。
詳しくは、ベンダのページをご確認ください。
SNMP (Simple Network Management Protocol) は、ネットワークデバイスの監視や管理のために広く使用されているプロトコルです。SNMPv3 は、認証やプライバシコントロールといったセキュリティ機能をサポートしています。SNMPv3 の認証では、HMAC (keyed-Hash Message Authentication Code) が使用されています。このコードは、秘密鍵と暗号ハッシュ機能を組み合わせてを生成されています。
SNMPv3 の実装によっては、認証処理に脆弱性があるため細工されたパケットを処理することで認証が回避されてしまう可能性が存在します。
遠隔の第三者によって SNMP オブジェクトを読まれたり変更されたりする可能性があります。
アップデートする
各開発元が提供する最新バージョンへアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| アライドテレシス株式会社 | 該当製品あり | 2008/09/24 | アライドテレシス株式会社 の告知ページ |
| マイクロソフト | 該当製品無し | 2008/06/12 | |
| 古河電気工業 | 該当製品無し | 2008/06/11 | |
| 富士通 | 該当製品あり | 2009/05/21 | |
| 日本電気 | 該当製品あり | 2008/07/03 | |
| 日立 | 該当製品あり | 2008/07/01 | |
| 株式会社インターネットイニシアティブ | 該当製品あり | 2008/06/11 | |
| 横河電機株式会社 | 該当製品あり | 2016/11/08 | 横河電機株式会社 の告知ページ |
2008.06.11における脆弱性分析結果 緊急
| 評価尺度 | 攻撃成立条件 | 評価値 |
|---|---|---|
| 攻撃経路 | インターネット経由からの攻撃が可能 |
|
| 認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
| 攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
| 攻撃の難易度 | ある程度の専門知識や運 (条件が揃う確率は高い) が必要 |
|
| JPCERT 緊急報告 |
JPCERT-AT-2008-0011 |
| JPCERT REPORT | |
| CERT Advisory |
Technical Cyber Security Alert TA08-162A |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2008-0960 |
| JVN iPedia |
JVNDB-2008-001431 |
- 2008/06/11
- 株式会社インターネットイニシアティブの JVNVU#878044への対応が更新されました。
- 2008/06/11
- 横河電機の JVNVU#878044への対応が更新されました。
- 2008/06/12
- マイクロソフトの JVNVU#878044への対応が更新されました。
- 2008/06/18
- CVE 番号を修正しました。
- 2008/06/19
- ベンダ情報:NET-SNMP を追記しました。
- 2008/07/01
- 日立の JVNVU#878044への対応が更新されました。
- 2008/07/03
- 日本電気の JVNVU#878044への対応が更新されました。
- 2008/08/25
- 関連文書に JVN iPedia へのリンクを追加しました。
- 2008/09/24
- アライドテレシス株式会社の JVNVU#878044への対応が更新されました。
- 2008/12/25
- 富士通の JVNVU#878044への対応が更新されました。
- 2009/05/21
- 富士通の JVNVU#878044への対応が更新されました。
- 2016/11/08
- 横河電機株式会社のベンダステータスが更新されました
