| 概要 | Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2022-34345. Reason: This candidate is a reservation duplicate of CVE-2022-34345. Notes: All CVE users should reference CVE-2022-34345 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage. |
|---|---|
| 公表日 | 2022年9月21日3:15 |
| 登録日 | 2022年9月21日10:00 |
| 最終更新日 | 2023年11月7日12:46 |
| CVSS3.1 : HIGH | |
| スコア | 7.2 |
|---|---|
| ベクター | CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| 攻撃元区分(AV) | 物理 |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 高 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| タイトル | SMA Technologies 製 OpCon の UNIX 向けエージェントにおける SSH 鍵生成の問題 |
|---|---|
| 概要 | SMA Technologies が提供する OpCon には、UNIX 向けエージェントにおいて、SSH 接続用の鍵生成に関する問題が存在します。 OpCon は SMA Technologies が提供する IT 管理システムです。OpCon の UNIX 向けエージェントでは、製品に共通の SSH 接続用鍵ペアが用いられており、その秘密鍵がインストールファイル内にハードコードされています。さらに、製品のインストールおよび更新時に、公開鍵が root ユーザの authorized_keys ファイルに追加されるため、インストールファイルから秘密鍵を入手した攻撃者は、他ユーザのシステムに SSH 接続することが可能になります。この問題には CVE-2022-2154 が採番されています。 |
| 想定される影響 | 秘密鍵を取得した攻撃者によって、本製品を使用しているシステムに root 権限で SSH 接続される可能性があります。 |
| 対策 | [修正ツールを適用する] 開発者は、システムから鍵情報を削除し、本問題を修正するための<a href="https://smatechnologies.hosted-by-files.com/SMAUnixLSAMVulnerabilityFix/"target="blank">ツール</a>を提供しています。開発者が提供する情報を確認の上、ツールを適用してください。 [ワークアラウンドを実施する] 開発者が提供しているツールを適用しない場合、root ユーザの authorized_keys ファイルから公開鍵のエントリ (下記を参照) を手動で削除してください。 * SHA256: qbgTVNkLGI5G7erZqDhte63Vpw+9g88jYCxMuh8cLeg * MD5: f1:6c:c9:ba:21:66:ce:7c:5a:55:e2:4d:07:72:cc:31 なお、開発者によると、現在公開されている OpCon バージョン 21.2 のパッケージには鍵情報は含まれていないとのことです。 |
| 公表日 | 2022年6月22日0:00 |
| 登録日 | 2022年6月23日17:34 |
| 最終更新日 | 2022年6月23日17:34 |
| SMA Technologies |
| OpCon バージョン 21.2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2022年06月23日] 掲載 |
2022年6月23日17:34 |