製品・ソフトウェアに関する情報

JVN脆弱性詳細

Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題

タイトル	Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題
概要	Huawei が提供するモバイル Wi-Fi ルータ E5151 および E5186 には、不十分なランダム値を使用している問題が存在します。不十分なランダム値の使用 (CWE-330) - CVE-2015-8265 Huawei E5151 および Huawei E5186 から送信される DNS クエリのソースポート番号は固定されています。攻撃者は DNS スプーフィングにより、LAN 内の端末を悪意のあるサーバに誘導することが可能です。 CWE-330: Use of Insufficiently Random Values http://cwe.mitre.org/data/definitions/330.html
想定される影響	遠隔の攻撃者によって DNS レスポンスを偽装され、LAN 内の端末を悪意のあるサーバに誘導される可能性があります。
対策	[アップデートする] Huawei E5151 の対策アップデートは、SmarTone (customer_care@smartone.com) に連絡することで入手可能です。 SmarTone https://www.smartone.com/en/privileges_and_support/contact_us/online_enquiry.jsp また、本脆弱性を修正した Huawei E5186 用ファームウェア V200R001B310D01SP00C00 がリリースされています。開発者のセキュリティアドバイザリでは、製品のアップデートに関して Huawei TAC に連絡するよう求めています。セキュリティアドバイザリ (huawei-sa-20160129-01-dns) http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en Report Vulnerabilities (Huawei TAC) http://www.huawei.com/en/security/psirt/report-vulnerabilities/index.htm
公表日	2016年2月1日0:00
登録日	2016年2月3日11:48
最終更新日	2016年3月31日17:51

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:P/A:N

影響を受けるシステム

Huawei

E5151 ファームウェア version 21.141.13.00.1080

E5186 ファームウェア version V200R001B306D01C00

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8265	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8265
National Vulnerability Database (NVD)
2	CVE-2015-8265	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8265

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Huawei
1	Report Vulnerabilities	http://www.huawei.com/en/psirt/report-vulnerabilities
Security Advisory
2	DNS Static Source Port Vulnerability in Huawei E5186 (huawei-sa-20160129-01-dns)	http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en

その他

No	名前	URL
JVN
1	JVNVU#92574416	http://jvn.jp/vu/JVNVU92574416/index.html
US-CERT Vulnerability Note
2	VU#972224	http://www.kb.cert.org/vuls/id/972224

変更履歴

No	変更内容	変更日
0	[2016年02月03日] 掲載 [2016年03月31日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-8265) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-8265

概要	Huawei Mobile WiFi E5151 routers with software before E5151s-2TCPU-V200R001B146D27SP00C00 and E5186 routers with software before V200R001B310D01SP00C00 allow DNS query packets using the static source port, which makes it easier for remote attackers to spoof responses via unspecified vectors.
公表日	2016年2月2日6:59
登録日	2021年1月26日14:57
最終更新日	2024年11月21日11:38

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:huawei:e5151_firmware::::::::		e5151s-2tcpu-v200r001b141d13sp00c1080
cpe:2.3:o:huawei:e5186_firmware::::::::		v200r001b306d01c00

No	URL	タグ
1	http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en	Vendor Advisory
2	http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en	Vendor Advisory
3	http://www.securityfocus.com/bid/82246
4	http://www.securityfocus.com/bid/82246
5	https://www.kb.cert.org/vuls/id/972224	Third Party Advisory US Government Resource
6	https://www.kb.cert.org/vuls/id/972224	Third Party Advisory US Government Resource