公開日:2021/03/24 最終更新日:2021/03/24
JVNVU#98539192
複数の General Electric 製品に複数の脆弱性
General Electric 社が提供する MU320E および Reason DR60 には複数の脆弱性が存在します。
- MU320E ファームウェア v04A00.1 より前のバージョン
- Reason DR60 ファームウェア v02A04.1 より前のバージョン
General Electric 社が提供する MU320E には次の複数の脆弱性が存在します。
- ハードコードされたパスワードの使用 (CWE-259) - CVE-2021-27452
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 不要な特権による実行 (CWE-250) - CVE-2021-27448
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8 - 不適切な暗号強度 (CWE-326) - CVE-2021-27450
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L 基本値: 3.8
- ハードコードされたパスワードの使用 (CWE-259) - CVE-2021-27440
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - コードインジェクション (CWE-94) - CVE-2021-27438
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - 不要な特権による実行 (CWE-250) - CVE-2021-27454
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、ハードコードされた資格情報を使用され、マージングユニットを制御される - CVE-2021-27452
- 当該機器にアクセス可能な第三者によって、特権に昇格される - CVE-2021-27448
- SSH プロトコルの暗号強度が不十分なため、さらなる不適切な設定を招いたり、他の攻撃の踏み台として利用されたりする - CVE-2021-27450
- 遠隔の第三者によって、ハードコードされた資格情報を使用され、不正に認証されたり、外部コンポーネントと不正に通信されたりする - CVE-2021-27440
- 遠隔の第三者によって、悪意のある入力をされ、コードセグメントの構文や動作内容を変更される - CVE-2021-27438
- ソフトウェアが不必要な特権レベルで操作を実施するため、他の脆弱性が生じたり、他の脆弱性の影響が拡大したりする - CVE-2021-27454
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- MU320E v04A00.1
- Reason DR60 v02A04.1
| ベンダ | リンク |
| General Electric | GES-2021-002(要ログイン) |
| GES-2021-003(要ログイン) |
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CVE-2021-27438 |
|
CVE-2021-27440 |
|
|
CVE-2021-27448 |
|
|
CVE-2021-27450 |
|
|
CVE-2021-27452 |
|
|
CVE-2021-27454 |
|
| JVN iPedia |
|
