デルのシステム導入アプライアンスに複数の脆弱性、不正ログインや情報漏えいの恐れ

システム導入アプライアンス「KACE K2000」に関する脆弱性情報が発表された。

[ITmedia]

　情報処理推進機構とJPCERT コーディネーションセンターは11月9日、デルのシステム導入アプライアンス「KACE K2000 System Deployment Appliance」に複数の脆弱性が発見されたとして、JVNに情報を公開した。同日現在、対応策はないとしている。

　それによると、同製品にはユーザーに見えない固定パスワードの管理者アカウントが存在し、管理者権限で不正にログインされてしまう恐れがある。このアカウントは、製品のWeb管理インタフェースから削除できないという。

　またデータベース機能には、既知のユーザー名と識別可能なパスワードによってログインできてしまう管理者アカウントに関するコマンドインジェクションの脆弱性と、ユーザー名とパスワードが固定された読み取り専用のアカウント権限の不備という脆弱性も存在する。

　いずれの脆弱性もリモートアクセスの設定が有効になっている場合に、遠隔の第三者によってroot権限で任意のプログラムが実行されたり、ユーザー名やパスワードハッシュが不正に取得されてしまったりする可能性がある。リモートアクセスの設定は、デフォルトでは無効になっているが、上述のユーザーに見えない固定パスワードの管理者アカウントが不正に使用され、設定が有効に変更されてしまう可能性があるとしている。

　このほか、Web管理インタフェースにクロスサイトスクリプティングの脆弱性も存在し、ユーザーのWebブラウザ上で任意のスクリプトを実行される恐れがある。