公開日:2011/11/09 最終更新日:2011/11/09
JVNVU#702169
Dell KACE K2000 System Deployment Appliance に情報漏えいの脆弱性
Dell の提供する KACE K2000 System Deployment Appliance には、情報漏えいの脆弱性が存在します。
- KACE K2000 System Deployment Appliance
Dell の提供する KACE K2000 System Deployment Appliance のデータベース機能には、ユーザ名とパスワードが固定された、読み取り専用のアカウントがあります。KACE K2000 System Deployment Appliance には、このアカウントの権限に不備があり、情報漏えいの脆弱性が存在します。
なお、データベース機能にリモートアクセスが可能な設定となっている場合のみ本脆弱性の影響を受けます。
この設定はデフォルトで無効となっていますが、JVNVU#135606 などの脆弱性を用いることでこの設定を有効にされる可能性があります。
遠隔の第三者が、当該製品のユーザ名やパスワードハッシュを取得する可能性があります。
2011年11月9日現在、対策方法はありません。
ベンダ | リンク |
Dell | K2000 Appliance Security Recommended Practices |
-
US-CERT Vulnerability Note VU#702169
Dell KACE K2000 Appliance read-only database account allows account information disclosure