製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM Tivoli Endpoint Manager Mobile Device Management における任意のコードを実行される脆弱性

タイトル	IBM Tivoli Endpoint Manager Mobile Device Management における任意のコードを実行される脆弱性
概要	IBM Tivoli Endpoint Manager Mobile Device Management (MDM) は、異なるカスタマのインストールをまたいで同一のシークレット HMAC トークンを使用するため、任意のコードを実行される脆弱性が存在します。
想定される影響	第三者により、以下に対する Cookie の巧妙に細工されたマーシャリング Ruby オブジェクト (marshalled Ruby object) を介して、任意のコードを実行される可能性があります。 (1) Enrollment and Apple iOS Management Extender (2) Self-service ポータル (3) Trusted Services プロバイダ (4) Admin Portal
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年11月13日0:00
登録日	2014年12月10日12:15
最終更新日	2014年12月10日12:15

影響を受けるシステム

IBM

Tivoli Endpoint Manager Mobile Device Management 9.0.60100 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-6140	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6140
National Vulnerability Database (NVD)
2	CVE-2014-6140	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6140

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
IBM Support Document
1	1691701	http://www-01.ibm.com/support/docview.wss?uid=swg21691701

その他

No	名前	URL
関連文書
1	Unauthenticated Remote Code Execution in IBM Endpoint Manager Mobile Device Management Components	https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components

変更履歴

No	変更内容	変更日
0	[2014年12月10日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-6140

概要	IBM Tivoli Endpoint Manager Mobile Device Management (MDM) before 9.0.60100 uses the same secret HMAC token across different customers' installations, which allows remote attackers to execute arbitrary code via crafted marshalled Ruby objects in cookies to (1) Enrollment and Apple iOS Management Extender, (2) Self-service portal, (3) Trusted Services provider, or (4) Admin Portal.
公表日	2014年12月7日0:59
登録日	2021年1月26日15:15
最終更新日	2024年11月21日11:13

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:ibm:tivoli_endpoint_manager_mobile_device_management::::::::			9.0

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/129349/IBM-Endpoint-Manager-For-Mobile-Devices-Code-Execution.html	Exploit
2	http://packetstormsecurity.com/files/129349/IBM-Endpoint-Manager-For-Mobile-Devices-Code-Execution.html	Exploit
3	http://seclists.org/fulldisclosure/2014/Dec/3	Exploit
4	http://seclists.org/fulldisclosure/2014/Dec/3	Exploit
5	http://www.securityfocus.com/archive/1/534131/100/0/threaded
6	http://www.securityfocus.com/archive/1/534131/100/0/threaded
7	http://www.securityfocus.com/bid/71424
8	http://www.securityfocus.com/bid/71424
9	http://www.securitytracker.com/id/1031306
10	http://www.securitytracker.com/id/1031306
11	http://www-01.ibm.com/support/docview.wss?uid=swg21691701	Vendor Advisory
12	http://www-01.ibm.com/support/docview.wss?uid=swg21691701	Vendor Advisory
13	https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components	Exploit
14	https://www.redteam-pentesting.de/en/advisories/rt-sa-2014-012/-unauthenticated-remote-code-execution-in-ibm-endpoint-manager-mobile-device-management-components	Exploit

共通脆弱性一覧