Western Digital Arkeia 10.1.x < 10.1.19 / 10.2.x < 10.2.9 の複数の脆弱性(Heartbleed)
high Nessus プラグイン ID 74262
Language:
概要
リモート Web サーバーは、複数の脆弱性の影響を受ける仮想アプライアンスをホストしています。説明
リモート Western Digital Arkeia デバイスの自己報告されたバージョン番号は 10.1.19 / 10.2.9 より前です。このため、以下の脆弱性の影響を受ける可能性があります。- TLS ハートビート拡張の処理に関連して、領域外読み取りエラー(「ハートブリードバグ」として知られている)が存在し、これによって攻撃者は、メインプライマリキー素材、セカンダリキー素材、その他の保護されたコンテンツなどの、機密情報を取得できる可能性があります。
(CVE-2014-0160)
- ローカルファイルインクルード脆弱性が存在します。認証されていないリモートの攻撃者がこの問題を悪用して、「lang」 HTTP クッキーのディレクトリトラバーサルシーケンスでリクエストを細工することで、任意のファイルを読み取ることまたは実行する可能性があります。
(CVE-2014-2846)
ソリューション
バージョン 10.1.19 / 10.2.9 またはこれ以降のバージョンにアップグレードしてください。参考資料
http://www.nessus.org/u?67b88cb2
http://wiki.arkeia.com/index.php/Path_Traversal_Remote_Code_Execution
http://www.wdc.com/en/heartbleedupdate/
http://www.nessus.org/u?b286eb09
http://www.nessus.org/u?97c1883b
https://eprint.iacr.org/2014/140
プラグインの詳細
深刻度: High
ID: 74262
ファイル名: wd_arkeia_10_1_19_ver_check.nasl
バージョン: 1.9
タイプ: remote
ファミリー: CGI abuses
公開日: 2014/6/2
更新日: 2023/4/25
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-2846
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2014-0160
脆弱性情報
CPE: cpe:/a:wdc:arkeia_virtual_appliance
必要な KB アイテム: www/PHP, www/wd_arkeia
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2014/4/14
脆弱性公開日: 2014/2/24
CISA の既知の悪用された脆弱性の期限日: 2022/5/25
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2014-0160, CVE-2014-2846
CERT: 720951