製品・ソフトウェアに関する情報

JVN脆弱性詳細

Avaya MSS の Web 管理インターフェースにおける任意のコマンドを実行される脆弱性

Title	Avaya MSS の Web 管理インターフェースにおける任意のコマンドを実行される脆弱性
Summary	Avaya Message Storage Server (MSS) の Web 管理インターフェースには、以下に関連する処理に不備があるため、任意のコマンドを実行される脆弱性が存在します。 (1) SFTP Remote Store 設定 (2) リモート FTP ストレージ設定 (3) ネームサーバルックアップ (4) 他のホストへの pingの実行 (5) TCP/IP Networking パラメータ設定 (6) 外部ホスト設定のメインページ (7) 外部ホストの追加および変更 (8) Windows ドメインパラメータ設定 (9) 日付、時間および NTP サーバ設定 (10) アラーム設定 (11) コマンドライン履歴フォーム (12) メンテナンスフォーム (13) サーバイベントフォーム
Possible impacts	リモート認証された管理者により、ユーザ vexvm として任意のコマンドを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 25, 2008, midnight
Registration Date	June 26, 2012, 4:02 p.m.
Last Update	June 26, 2012, 4:02 p.m.

Affected System

アバイア

messaging storage server 3.x および 4.0、および Communication Manager 3.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-3081	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3081
National Vulnerability Database (NVD)
2	CVE-2008-3081	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3081

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
AVAYA
1	ASA-2008-269	http://support.avaya.com/elmodocs2/security/ASA-2008-269.htm

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-3081

Summary	Multiple unspecified "input validation" vulnerabilities in the Web management interface (aka Messaging Administration interface) in Avaya Message Storage Server (MSS) 3.x and 4.0, and possibly Communication Manager 3.1.x, allow remote authenticated administrators to execute arbitrary commands as user vexvm via vectors related to (1) SFTP Remote Store configuration; (2) remote FTP storage settings; (3) name server lookup; (4) pinging another host; (5) TCP/IP Networking parameter configuration; (6) the external hosts configuration main page; (7) adding and changing external hosts; (8) Windows domain parameter configuration; (9) date, time, and NTP server configuration; (10) alarm settings; (11) the command line history form; (12) the maintenance form; and (13) the server events form.
Publication Date	July 9, 2008, 9:41 a.m.
Registration Date	Jan. 29, 2021, 1:39 p.m.
Last Update	Aug. 8, 2017, 10:31 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:avaya:messaging_storage_server:3:::::::*
cpe:2.3:a:avaya:messaging_storage_server:3.1:::::::*
cpe:2.3:a:avaya:messaging_storage_server:4.0:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://osvdb.org/46587	OSVDB
2	http://secunia.com/advisories/30777	SECUNIA	Vendor Advisory
3	http://support.avaya.com/elmodocs2/security/ASA-2008-269.htm	CONFIRM
4	http://www.securityfocus.com/bid/29938	BID
5	http://www.voipshield.com/research-details.php?id=100	MISC
6	http://www.voipshield.com/research-details.php?id=101	MISC
7	http://www.voipshield.com/research-details.php?id=102	MISC
8	http://www.voipshield.com/research-details.php?id=103	MISC
9	http://www.voipshield.com/research-details.php?id=104	MISC
10	http://www.voipshield.com/research-details.php?id=92	MISC
11	http://www.voipshield.com/research-details.php?id=93	MISC
12	http://www.voipshield.com/research-details.php?id=94	MISC
13	http://www.voipshield.com/research-details.php?id=95	MISC
14	http://www.voipshield.com/research-details.php?id=96	MISC
15	http://www.voipshield.com/research-details.php?id=97	MISC
16	http://www.voipshield.com/research-details.php?id=98	MISC
17	http://www.voipshield.com/research-details.php?id=99	MISC
18	http://www.vupen.com/english/advisories/2008/1945/references	VUPEN
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/43422	XF
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/43423	XF
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/43424	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html