• 事件・脆弱性情報
  • 2018.10.15

大容量ファイル授受アプライアンス FileZen に複数の脆弱性

2018年10月15日、大容量のファイル授受アプライアンスのFileZenに2件の脆弱性が含まれていることが判明したと、開発元のソリトンシステムズ社が発表しました。

該当の事象

発表によると、下記2件の事象が明らかとなりました。

・ディレクトリトラバーサルの脆弱性(CVE-2018-0693)
・OSコマンドインジェクションの脆弱性(CVE-2018-0694)

これらの脆弱性が組み合わさることによって、遠隔にて「FileZen」内の特定のディレクトリに任意のコマンドを実行することが可能となります。
更に、この脆弱性を利用した攻撃が実施されることによって、FileZenにアップロードしたファイルの窃取や、FileZen自体が踏み台にされるなど、次なる攻撃に悪用される可能性があります。

危険度とは

今回ソリトンシステムズ社は、製品のユーザーへ脆弱性を周知するため、情報処理推進機構(IPA)へ報告した上で、JPCERTコーディネーションセンターとの調整が行われています。
尚、IPAが採用している共通脆弱性評価システムのCVSSでは、深刻度のレベルを「注意」を意味するレベル1、「警告」を意味するレベル2、「危険」を意味するレベル3に分けていますが、今回の脆弱性はいずれも一番危険性が高い「レベル3」であると判断しています。

ユーザーの対応について

これらの脆弱性はV3.0.0 から V4.2.1 が対象となり、ユーザーは脆弱性が修正されたバージョン4.2.2へのアップデートを行うよう開発元は呼び掛けています。

 

参考サイト:
https://jvn.jp/jp/JVN95355683/http://www.appps.jp/296557/
https://www.ipa.go.jp/security/ciadr/vul/20181015-jvn.htmlhttps://news.yahoo.co.jp/byline/moriimasakatsu/20180624-00086884/

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。