| タイトル | Seagate および LaCie ワイヤレスストレージ製品に複数の脆弱性 |
|---|---|
| 概要 | Seagate が提供するワイヤレスストレージ製品には、複数の脆弱性が存在します。 認証情報 (パスワード) がハードコードされている問題 (CWE-798) - CVE-2015-2874 マニュアルに記載のない telnet サービスが立ち上がっており、ユーザ名 "root"、デフォルトのパスワードを使用してアクセス可能です。 CWE-798: Use of Hard-coded Credentials https://cwe.mitre.org/data/definitions/798.html なお、National Vulnerability Database (NVD) では、CWE-255 として公開されています。 リクエストの直接送信 (Forced Browsing) (CWE-425) - CVE-2015-2875 デフォルト設定で、機器に無線でアクセスした際に、誰でもファイルをダウンロードすることが可能です。ファイルシステム上の任意のファイルを直接ダウンロードできます。 CWE-425: Direct Request ('Forced Browsing') https://cwe.mitre.org/data/definitions/425.html なお、National Vulnerability Database (NVD) では、CWE-22 として公開されています。 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2015-2876 デフォルト設定で、機器に無線でアクセスした際に、/media/sda2 ファイルシステムにファイルをアップロードすることが可能です。このファイルシステムはファイル共有のために用意されているものです。 CWE-434: Unrestricted Upload of File with Dangerous Type https://cwe.mitre.org/data/definitions/434.html |
| 想定される影響 | 遠隔の攻撃者によって、当該製品上の任意のファイルにアクセスされたり、root 権限で操作されたりする可能性があります。 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 開発者は、本脆弱性の対策版としてファームウェアバージョン 3.4.1.105 をリリースしています。 |
| 公表日 | 2015年9月1日0:00 |
| 登録日 | 2015年12月28日10:28 |
| 最終更新日 | 2016年1月14日18:13 |
| CVSS2.0 : 危険 | |
| スコア | 9 |
|---|---|
| ベクター | AV:N/AC:L/Au:S/C:C/I:C/A:C |
| Seagate Technology LLC |
| Seagate GoFlex Satellite |
| Seagate GoFlex Satellite |
| Seagate Wireless Mobile Storage |
| Seagate Wireless Mobile Storage |
| Seagate Wireless Plus Mobile Storage |
| Seagate Wireless Plus Mobile Storage |
| LaCie |
| LaCie FUEL |
| LaCie FUEL |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年12月28日] 掲載 [2016年01月14日] 概要:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2015-2874) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2015-2875) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2015-2876) を追加 参考情報:US-CERT Vulnerability Note (Seagate Technology LLC Information for VU#903500) を追加 参考情報:US-CERT Vulnerability Note (LaCie Information for VU#903500) を追加 |
2018年2月17日10:37 |
| 0 | [2015年12月28日] 掲載 [2016年01月14日] 概要:内容を更新 CWE による脆弱性タイプ一覧:CWE-ID を追加 影響を受けるシステム:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2015-2874) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2015-2875) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2015-2876) を追加 参考情報:US-CERT Vulnerability Note (Seagate Technology LLC Information for VU#903500) を追加 参考情報:US-CERT Vulnerability Note (LaCie Information for VU#903500) を追加 |
2018年2月17日10:37 |
| 概要 | Seagate GoFlex Satellite, Seagate Wireless Mobile Storage, Seagate Wireless Plus Mobile Storage, and LaCie FUEL devices with firmware before 3.4.1.105 have a default password of root for the root account, which allows remote attackers to obtain administrative access via a TELNET session. |
|---|---|
| 公表日 | 2015年12月31日14:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2024年11月21日11:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:wireless_mobile_storage:*:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:seagate:wireless_plus_mobile_storage:*:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:lacie:lac9000436u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| cpe:2.3:o:lacie:lac9000464u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:goflex_sattelite:*:*:*:*:*:*:*:* | |||||
| 概要 | Absolute path traversal vulnerability on Seagate GoFlex Satellite, Seagate Wireless Mobile Storage, Seagate Wireless Plus Mobile Storage, and LaCie FUEL devices with firmware before 3.4.1.105 allows remote attackers to read arbitrary files via a full pathname in a download request during a Wi-Fi session. |
|---|---|
| 公表日 | 2015年12月31日14:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2024年11月21日11:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:goflex_sattelite:*:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:wireless_mobile_storage:*:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:seagate:wireless_plus_mobile_storage:*:*:*:*:*:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:lacie:lac9000436u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| cpe:2.3:o:lacie:lac9000464u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| 概要 | Unrestricted file upload vulnerability on Seagate GoFlex Satellite, Seagate Wireless Mobile Storage, Seagate Wireless Plus Mobile Storage, and LaCie FUEL devices with firmware before 3.4.1.105 allows remote attackers to execute arbitrary code by uploading a file to /media/sda2 during a Wi-Fi session. |
|---|---|
| 公表日 | 2015年12月31日14:59 |
| 登録日 | 2021年1月26日14:48 |
| 最終更新日 | 2024年11月21日11:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:lacie:lac9000436u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| cpe:2.3:o:lacie:lac9000464u_firmware:*:*:*:*:*:*:*:* | 2.3.0.014 | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:wireless_mobile_storage:*:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:seagate:wireless_plus_mobile_storage:*:*:*:*:*:*:*:* | |||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:seagate:goflex_sattelite:*:*:*:*:*:*:*:* | |||||