Enghouse Interactive IVR Pro の Enghouse Interactive Professional Services の不特定の "アドオン製品" における権限を取得される脆弱性
| Title |
Enghouse Interactive IVR Pro の Enghouse Interactive Professional Services の不特定の "アドオン製品" における権限を取得される脆弱性
|
| Summary |
Enghouse Interactive IVR Pro (VIP2000) の Enghouse Interactive Professional Services の不特定の "アドオン製品" は、OpenVZ および フォールバックのカスタマイズを使用している場合、異なる顧客のインストール間で同じ SSH 秘密鍵を使用するため、権限を取得される脆弱性が存在します。
|
| Possible impacts |
第三者により、SSH 秘密鍵の情報を利用されることで、権限を取得される可能性があります。 |
| Solution |
ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
Nov. 27, 2013, midnight |
| Registration Date |
Jan. 29, 2014, 2:50 p.m. |
| Last Update |
Jan. 29, 2014, 2:50 p.m. |
|
CVSS2.0 : 危険
|
| Score |
10
|
| Vector |
AV:N/AC:L/Au:N/C:C/I:C/A:C |
Affected System
| Enghouse Interactive |
|
IVR Pro (VIP2000) 9.0.3 (rel903)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2014年01月29日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2013-6838
| Summary |
An unspecified Enghouse Interactive Professional Services "addon product" in Enghouse Interactive IVR Pro (VIP2000) 9.0.3 (rel903), when using OpenVZ and fallback customization, uses the same SSH private key across different customers' installations, which allows remote attackers to gain privileges by leveraging knowledge of this key.
|
| Publication Date |
Jan. 28, 2014, 9:55 a.m. |
| Registration Date |
Jan. 26, 2021, 3:48 p.m. |
| Last Update |
Nov. 21, 2024, 10:59 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:enghouseinteractive:ivr_pro:9.0.3:*:*:*:*:*:*:* |
|
|
|
|
| execution environment |
| 1 |
cpe:2.3:o:openvz:vzkernel:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List