影響を受ける製品
- Smart Protection Server 3.3
- Smart Protection Server 3.2
- Smart Protection Server 3.1
- Smart Protection Server 3.0
脆弱性の概要
Smart Protection Server の Web コンソールへログインする際のアカウント認証において、コマンドインジェクションにより認証回避が行われる致命的な脆弱性が含まれています。
この脆弱性は無効なユーザアクセス情報でコマンドインジェクションを実行することにより、フルアクセスの権限でログインを許してしまう可能性があります。
この脆弱性は無効なユーザアクセス情報でコマンドインジェクションを実行することにより、フルアクセスの権限でログインを許してしまう可能性があります。
対応策
- Smart Protection Server 3.3
Smart Protection Server 3.3 Critical Patch 1076 (2018/2/28 公開) を適用してください。 - Smart Protection Server 3.2
Smart Protection Server 3.2 Critical Patch 1090 (2018/2/28 公開) を適用してください。 - Smart Protection Server 3.1
Smart Protection Server 3.1 Critical Patch 1064 (2018/2/28 公開) を適用してください。 - Smart Protection Server 3.0
Smart Protection Server 3.0 Critical Patch 1355 (2018/2/28 公開) を適用してください。
参考情報
CVE-2018-6231
ZDI-CAN-5625
更新情報
2018/2/28 本アドバイザリを公開しました。