公開日:2014/12/08 最終更新日:2014/12/08

JVNVU#98916051
Zenoss Core に複数の脆弱性

概要

アプリケーションやサーバ、ネットワーク等の管理プラットフォームソフトウエアである Zenoss Core には、複数の脆弱性が存在します。

影響を受けるシステム

  • Zenoss Core 4.2.4 およびそれ以前

詳細情報

アプリケーションやサーバ、ネットワーク等の管理プラットフォームソフトウエアである Zenoss Core には、次に挙げる複数の脆弱性が存在します。

  • Systemic Cross Site Request Forgery - CVE-2014-6253
  • Systemic Stored Cross-Site Scripting in Zenoss Attributes - CVE-2014-6254
  • Cross Site Scripting from Exposed Helper Methods - CVE-2014-6254
  • Open Redirect in Login Form - CVE-2014-6255
  • Authorization Bypass Allows Moving Arbitrary Files - CVE-2014-6256
  • Systemic Authorization Bypasses - CVE-2014-6257
  • Denial of Service from User-Supplied Regular Expression - CVE-2014-6258
  • Denial of Service via XML Recursive Entity Expansion ("Billion Laughs") - CVE-2014-6259
  • Page Command can be Edited Without Password Re-Entry - CVE-2014-6260
  • Remote Code Execution via Version Check - CVE-2014-6261
  • Denial of Service via RRDtool Format String Vulnerability (this vulnerability is due to RRDtool) - CVE-2014-6262
  • Stack Trace Contains Internal URLs and Other Sensitive Information - CVE-2014-9245
  • Cross-Site Request Forgery Leads to ZenPack Installation - CVE-2014-9246
  • Sessions Do Not Expire - CVE-2014-9246
  • User Enumeration via User Manager - CVE-2014-9247
  • No Password Complexity Requirements - CVE-2014-9248
  • Exposed Services in Default Configuration - CVE-2014-9249
  • Cookie Authentication is Insecure - CVE-2014-9250
  • Weak Password Hashing Algorithm - CVE-2014-9251
  • Plaintext Password Stored in Session on Server - CVE-2014-9252
各脆弱性の詳細は、Google スプレッドシートの "Impact Description" の欄を参照してください。

想定される影響

想定される影響は各脆弱性により異なりますが、脅威の高い脆弱性 (CVE-2014-6261 および CVE-2014-9246) が悪用された場合、遠隔の第三者による任意のコード実行および任意のパッケージのインストールが行われ、Zenoss Core を運用しているシステムを完全に乗っ取られる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

CVE-2014-6255 および CVE-2014-9246 は Zenoss Core 4.2.5 SP で修正されています。
その他の問題の大部分については、今後リリースされる Zenoss Core 5 で修正される予定です。
各脆弱性に対する開発者の見解は、Google スプレッドシートの "Vendor Status" の欄を、脆弱性のトラッキング番号は "Zenoss Bug ID" の欄を参照してください。

SSL/HTTPS を使用する
CVE-2014-9250 の脆弱性は SSL/HTTPS を有効にすることでその影響を軽減することが可能です。
詳しくは、Google スプレッドシートの CVE-2014-9250 の欄を参照してください。

ベンダ情報

ベンダ リンク
Zenoss, Inc. Zenoss Core - Enterprise IT Monitoring

参考情報

  1. CERT/CC Vulnerability Note VU#449452
    Zenoss Core contains multiple vulnerabilities
  2. VU#449452 - Google スプレッドシート
    VU#449452

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.12.08における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 単一の認証が必要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:8.5

分析結果のコメント

この CVSS の評価は CVE-2014-9246 に基づいて行ったものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia