公開日:2012/08/20 最終更新日:2012/08/20

JVNVU#441363
HP Virtual SAN appliance にコマンドインジェクションの脆弱性

概要

HP Virtual SAN appliance には、コマンドインジェクションの脆弱性が存在します。

影響を受けるシステム

  • HP Virtual SAN appliance バージョン 9.5

詳細情報

HP が提供する Virtual SAN appliance の ping コマンドには、コマンドインジェクションの脆弱性が存在します。

なお、Vulnerability Note VU#441363 によると、ping コマンドには 4つのパラメータがあり、一つのパラメータに対してのみ修正が行われています。他の 3つのパラメータに対してコマンドインジェクションが依然として可能です。

想定される影響

認証可能な第三者によって、任意のコマンドを実行される可能性があります。

対策方法

2012年8月20日現在、対策はありません。

ワークアラウンドを実施する
対策が公開されるまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • アクセスを制限する

ベンダ情報

ベンダ リンク
Hewlett Packard HP LeftHand Virtual SAN Appliance Software - Overview & Features

参考情報

  1. US-CERT Vulnerability Note VU#441363
    HP Virtual SAN appliance root shell command injection

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-2986
JVN iPedia