公開日:2016/02/02 最終更新日:2016/02/02
JVNVU#92574416
Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題
Huawei が提供するモバイル Wi-Fi ルータ E5151 および E5186 には、不十分なランダム値を使用している問題が存在します。
- Huawei E5151 firmware version 21.141.13.00.1080
- Huawei E5186 firmware version V200R001B306D01C00
不十分なランダム値の使用 (CWE-330) - CVE-2015-8265
Huawei E5151 および Huawei E5186 から送信される DNS クエリのソースポート番号は固定されています。攻撃者は DNS スプーフィングにより、LAN 内の端末を悪意のあるサーバに誘導することが可能です。
遠隔の攻撃者によって DNS レスポンスを偽装され、LAN 内の端末を悪意のあるサーバに誘導される可能性があります。
アップデートする
Huawei E5151 の対策アップデートは、SmarTone (customer_care@smartone.com) に連絡することで入手可能です。
また、本脆弱性を修正した Huawei E5186 用ファームウェア V200R001B310D01SP00C00 がリリースされています。開発者のセキュリティアドバイザリでは、製品のアップデートに関して Huawei TAC に連絡するよう求めています。
-
CERT/CC Vulnerability Note VU#972224
Huawei Mobile WiFi E5151 and E5186 routers use insufficiently random values for DNS queries
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
基本値:
4.7
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:L/Au:N/C:N/I:P/A:N
基本値:
5.0
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2015-8265 |
JVN iPedia |
|
- 2016/02/02
- タイトルを修正しました