ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
ホーム > 製品 > NEC製品セキュリティ情報 > セキュリティ情報 > 2011年 > NV11-007
ページ共通メニューここまで。

掲載番号:NV11-007
脆弱性情報識別番号:IPA#05255562

Preboot Execution Environment(PXE) SDKを使用した製品における複数の脆弱性

概要

Intelの提供するPreboot Execution Environment (PXE) SDKのサンプルコードを参考に実装している製品には、ディレクトリトラバーサルおよびバッファオーバーフローの脆弱性が存在します。

対象製品

WebSAM DeploymentManager

影響の有無

あり

(1)バッファオーバーフロー
確保したメモリ領域以外のメモリ領域への書き込みが発生し、
メモリの配置によっては何らかの問題が発生する可能性があります。

(2)ディレクトリトラバーサル
tftpアクセスによりDeploymentManagerをインストールしたドライブ上の
約100MB以下の任意のファイルをGetすることが可能になります。
Putには対応していないため問題ありません。


対処方法

対象となる製品のバージョン:
バッファオーバーフローの対象となる製品のバージョン
製品名バージョン
BladeSystemCenter1.0、1.1
ESMPRO/DeploymentManagerVer1.0、Ver2.0
SystemGlobe DeploymentManagerVer2.1、Ver3.0、Ver3.1

ディレクトリトラバーサルの対象となる製品のバージョン
製品名バージョン
BladeSystemCenter1.0、1.1、2.0、2.1
ExpressSystemCenter1.0、2.1
SigmaSystemCenter1.1、1.2、1.3、2.0
VirtualPCCenter1.0、1.2、1.3
ESMPRO/DeploymentManagerVer1.0、Ver2.0
SystemGlobe DeploymentManagerVer2.1、Ver3.0、Ver3.1
WebSAM DeploymentManagerVer3.8、Ver4.0、Ver4.1
WebSAM DeploymentManagerVer5.0(REVISION:001)、Ver5.1(REVISION:001)

[対策]
(1)バッファオーバーフロー
問題が発生しないバージョンにバージョンアップしてください。
バージョンアップは保守契約を結んでいるお客様は無償で行うことができます。
バージョンアップ媒体の入手方法は以下から確認できます。

1.以下にアクセス
https://www.support.nec.co.jp/PSHome.aspx
2.画面左下の「ご契約者様はこちら」からログイン
3.画面左側メニューから「バージョンアップ」を選択
4.画面右側の「バージョンアップのお申し込み手順」を選択

(2)ディレクトリトラバーサル
DeploymentManager Ver5.0、Ver5.1は最新のパッチを適用してください。
パッチの入手方法にについては以下の通りです。

1.以下にアクセス
https://www.support.nec.co.jp/PSHome.aspx
2.画面左下の「ご契約者様はこちら」からログイン
3.画面左側メニューから「リビジョンアップ/修正物件」を選択
4.画面中央の「修正物件ダウンロード」を選択
5.画面中央の「キーワード」に以下を入力して「検索」を選択

DPM5.0向けパッチを入手する場合:9010016951
DPM5.1向けパッチを入手する場合:9010100394

備考:パッチのリリースメモ等には本脆弱性に関する修正情報は記載していません。

それ以外は問題が発生しないバージョンにバージョンアップしてください。
バージョンアップは保守契約を結んでいるお客様は無償で行うことができます。
バージョンアップ媒体の入手方法は「(1)バッファオーバーフロー」を参照してください。

参考情報

  • Japan Vulnerability Notes JVN#05255562:
    Preboot Execution Environment (PXE) SDK を使用した製品における複数の脆弱性
    https://jvn.jp/jp/JVN05255562/

更新情報

2011/12/15
WebSAM DeploymentManagerを登録しました。
Copyright NEC Corporation. All rights reserved.