製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の Micro Focus 製品の管理サーバにおける任意のファイルを読まれる脆弱性

タイトル	複数の Micro Focus 製品の管理サーバにおける任意のファイルを読まれる脆弱性
概要	Micro Focus Host Access Management and Security Server (MSS)、Reflection for the Web (RWeb)、Reflection Security Gateway (RSG) および Reflection ZFE (ZFE) の管理サーバには、任意のファイルを読まれる脆弱性が存在します。
想定される影響	リモート認証された攻撃者により、制限されたディレクトリトラバーサルを許可する特別に細工された URL を介して、任意のファイルを読まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年11月28日0:00
登録日	2016年12月1日14:03
最終更新日	2016年12月1日14:03

影響を受けるシステム

マイクロフォーカス株式会社

Host Access Management and Security Server 12.2 build 342 未満の 12.2

Host Access Management and Security Server 12.3 build 326 未満の 12.3

Reflection for the Web 12.2 build 342 未満の 12.2

Reflection for the Web 12.3 build 312 未満の 12.3

Reflection for the Web 2014 R2 12.1 build 362 未満の 12.1

Reflection Security Gateway 2014 R2 12.1 build 362 未満の 12.1

Reflection ZFE 1.4.0.14 未満の 1.4.0

Reflection ZFE 2.0.0.52 未満の 2.0.0

Reflection ZFE 2.0.1.18 未満の 2.0.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-5765	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5765
National Vulnerability Database (NVD)
2	CVE-2016-5765	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5765

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
Micro Focus
1	Technical Note 1704	http://support.attachmate.com/techdocs/1704.html

変更履歴

No	変更内容	変更日
0	[2016年12月01日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-5765

概要	Administrative Server in Micro Focus Host Access Management and Security Server (MSS) and Reflection for the Web (RWeb) and Reflection Security Gateway (RSG) and Reflection ZFE (ZFE) allows remote unauthenticated attackers to read arbitrary files via a specially crafted URL that allows limited directory traversal. Applies to MSS 12.3 before 12.3.326 and MSS 12.2 before 12.2.342 and RSG 12.1 before 12.1.362 and RWeb 12.3 before 12.3.312 and RWeb 12.2 before 12.2.342 and RWeb 12.1 before 12.1.362 and ZFE 2.0.1 before 2.0.1.18 and ZFE 2.0.0 before 2.0.0.52 and ZFE 1.4.0 before 1.4.0.14.
公表日	2016年11月29日20:59
登録日	2021年1月26日14:14
最終更新日	2024年11月21日11:54

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microfocus:host_access_management_and_security_server:12.3:::::::*
cpe:2.3:a:microfocus:reflection_zfe:2.0.0.52:::::::*
cpe:2.3:a:microfocus:host_access_management_and_security_server:12.2:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.3:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.1:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.2:::::::*
cpe:2.3:a:microfocus:reflection_zfe:1.4.0.14:::::::*
cpe:2.3:a:microfocus:reflection_zfe:2.0.1.18:::::::*
cpe:2.3:a:microfocus:reflection_security_gateway:12.1:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:microfocus:host_access_management_and_security_server:12.3:::::::*
cpe:2.3:a:microfocus:reflection_zfe:2.0.0.52:::::::*
cpe:2.3:a:microfocus:host_access_management_and_security_server:12.2:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.3:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.1:::::::*
cpe:2.3:a:microfocus:reflection_for_the_web:12.2:::::::*
cpe:2.3:a:microfocus:reflection_zfe:1.4.0.14:::::::*
cpe:2.3:a:microfocus:reflection_zfe:2.0.1.18:::::::*
cpe:2.3:a:microfocus:reflection_security_gateway:12.1:::::::*

No	URL	refsource	タグ
1	http://support.attachmate.com/techdocs/1704.html
2	http://support.attachmate.com/techdocs/1704.html
3	http://www.securityfocus.com/bid/94579
4	http://www.securityfocus.com/bid/94579
5	http://www.zerodayinitiative.com/advisories/ZDI-16-618
6	http://www.zerodayinitiative.com/advisories/ZDI-16-618

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html
2	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html