公開日:2012/04/25 最終更新日:2012/06/19

JVNVU#889195
Rugged Operating System (ROS) におけるユーザアカウントに関する問題

概要

Rugged Operating System (ROS) には、ハードコードされたユーザアカウントに起因する問題が存在します。

影響を受けるシステム

  • ROS firmware Version 3.10.1 より前のバージョン
  • ROS firmware Version 3.9.3 より前のバージョン
  • ROS firmware Version 3.8.5 より前のバージョン
  • ROS firmware Version 3.7.9 より前のバージョン

詳細情報

RuggedCom の提供する RuggedSwitch シリーズに使用されている Rugged Operating System (ROS) には、削除不可能なユーザアカウントが存在します。このアカウントのユーザ名は固定であり、パスワードも推測可能なものが設定されています。

想定される影響

遠隔の第三者に、管理者としてログインされてしまう可能性があります。

対策方法

アップデートする
2012年6月1日に、開発者から対策版ファームウェアがリリースされました。
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • アクセスを制限する

ベンダ情報

ベンダ リンク
RUGGEDCOM Software Downloads

参考情報

  1. US-CERT Vulnerability Note VU#889195
    RuggedCom Rugged Operating System (ROS) contains a hard-coded user account with a predictable password
  2. ICS-CERT ADVISORY ICSA-12-146-01A
    RUGGEDCOM WEAK CRYPTOGRAPHY FOR PASSWORD VULNERABILITY

JPCERT/CCからの補足情報


JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-1803
JVN iPedia

更新履歴

2012/06/19
影響を受けるシステム、対策方法、参考情報を更新しました。