| Title | Cobham thraneLINK デバイスのファームウェアアップデート機能に脆弱性 |
|---|---|
| Summary | Cobham thraneLINK デバイスのファームウェアアップデート機能には、脆弱性が存在します。 Cobham の thraneLINK プロトコルでは、ファームウェアのアップデートの電子署名を検証しません(CWE-347)。また、ネットワークに接続された thraneLINK デバイスは、SLPFindSrvs プロトコルで列挙することができます。結果として、細工された SNMP リクエストにより、第三者が用意した TFTP サーバ から不正なファームウェアアップデートをダウンロードさせられる可能性があります。 CWE-347: Improper Verification of Cryptographic Signature http://cwe.mitre.org/data/definitions/347.html |
| Possible impacts | 遠隔の第三者によって、thraneLINK デバイスに悪意あるファームウェアイメージを展開され、任意のコードを実行される可能性があります。 |
| Solution | 2014年8月8日現在、対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 ・ thraneLINK デバイスからの TFTP アクセスを制限する ・ ネットワークに接続されている thraneLINK デバイスの検出を防ぐため、427/UDP へのブロードキャストを制限する |
| Publication Date | Aug. 7, 2014, midnight |
| Registration Date | Aug. 11, 2014, 1:59 p.m. |
| Last Update | Aug. 18, 2014, 6:02 p.m. |
| CVSS2.0 : 危険 | |
| Score | 9.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| Cobham plc |
| SAILOR 6006 Message Terminal |
| SAILOR 6110 mini-C GMDSS |
| SAILOR 6222 VHF |
| SAILOR 6300 MF/HF |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年08月11日] 掲載 [2014年08月18日] 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2014-0328) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The thraneLINK protocol implementation on Cobham devices does not verify firmware signatures, which allows attackers to execute arbitrary code by leveraging physical access or terminal access to send an SNMP request and a TFTP response. |
|---|---|
| Publication Date | Aug. 15, 2014, 8:15 p.m. |
| Registration Date | Jan. 26, 2021, 3:04 p.m. |
| Last Update | Nov. 21, 2024, 11:01 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:h:cobham:ailor_6110_mini-c_gmdss:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cobham:sailor_6006_message_terminal:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cobham:sailor_6222_vhf:-:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:cobham:sailor_6300_mf_\/_hf:-:*:*:*:*:*:*:* | |||||