| Summary | The up.time agent in Idera Uptime Infrastructure Monitor 7.5 and 7.6 on Linux allows remote attackers to read arbitrary files via unspecified vectors. |
|---|---|
| Publication Date | June 10, 2016, 10:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:57 p.m. |
| Last Update | Nov. 21, 2024, 11:38 a.m. |
| CVSS3.0 : HIGH | |
| スコア | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| CVSS2.0 : MEDIUM | |
| Score | 5.0 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:idera:uptime_infrastructure_monitor:7.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:idera:uptime_infrastructure_monitor:7.5:*:*:*:*:*:*:* | |||||
| Title | Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントに認証欠如の問題 |
|---|---|
| Summary | Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェントには、ユーザがシステム内の任意のファイルを参照可能な問題が存在します。 重要な機能に対する認証の欠如 (CWE-306) - CVE-2015-8268 研究者は「Linux 向けの uptime.agent version 7.5 が読み出し権限を持つ任意のファイルをリモートから認証なしで取得できる」と述べています。開発者は、version 7.5 および 7.6 がこの問題の影響を受けることを確認しています。 CWE-306: Missing Authentication for Critical Function http://cwe.mitre.org/data/definitions/306.html 関連する脆弱性情報が JVNVU#99135508 で報告されています。 JVNVU#99135508 http://jvn.jp/vu/JVNVU99135508/ |
| Possible impacts | 遠隔の第三者によって、当該製品が動作しているシステム上の任意のファイルを取得される可能性があります。 |
| Solution | [アップデートする] 開発者は本脆弱性を修正した Uptime Infrastructure Monitor Version 7.7 をリリースしています。開発者が提供する情報をもとに、最新版へアップデートしてください。 Uptime Infrastructure Monitor Version 7.7 http://docs.uptimesoftware.com/display/UT/Release+Notes [ワークアラウンドを実施する] 開発者は、アップデートのほかに、影響回避のための設定について次のように述べています。 1. All agents run in a read only mode by default, where they can only poll metrics. (エージェントはデフォルトで読み取り専用になっており、ポーリングのみ可能です。) 2. In order to use custom scripts or trigger recovery actions, you need to set a password on the agent, or add commands to the .uptmpasswd file for the linux agent. (カスタムスクリプトを使用したりリカバリ動作を指示したりしたい場合は、エージェントにパスワードを設定するか、Linux 向けエージェントでは .uptmpasswd ファイルへコマンドを追加してください。) 3. Agents communication can be encrypted with SSL by using various SSL Tunneling/Proxy Utilities (openSSL, etc). KB articles cover the specifics for implementing with Stunnel on various platforms. (エージェントの通信は OpenSSL など様々なトンネリング / プロキシ用ツールを使って暗号化することが可能です。Securing the Linux agent (tcpwrappers and ssl) では、様々なプラットフォームで stunnel を使って設定する場合の詳細が説明されています。) KB articles http://docs.uptimesoftware.com/pages/viewpage.action?pageId=4555083 Securing the Linux agent (tcpwrappers and ssl) http://docs.uptimesoftware.com/pages/viewpage.action?pageId=4555083 4. Agents running under xinet.d can also be secured at the service level by restricting incoming connections to only accept connections from the Monitoring Station, or limit the total number of connections, etc. (エージェントが xinet.d 下で動作する場合も、Monitoring Station 以外からの通信の制限、同時接続数の制限などを行うことができます。) 5. Disable Agent Commands you don't use either via the Agent Console or editing conf/agent_commands.txt. (使用しない Agent Command については、Agent Console からの設定または conf/agent_commands.txt を直接編集することで、無効化してください。) |
| Publication Date | May 19, 2016, midnight |
| Registration Date | May 30, 2016, 2:32 p.m. |
| Last Update | June 14, 2016, 4:08 p.m. |
| IDERA, Inc. |
| Uptime Infrastructure Monitor (旧称 up.time) の Linux 向けエージェント Version 7.5 および 7.6 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年05月30日] 掲載 [2016年06月14日] CWE による脆弱性タイプ一覧:CWE-ID を追加 参考情報:National Vulnerability Database (NVD) (CVE-2015-8268) を追加 |
Feb. 17, 2018, 10:37 a.m. |