※最新情報は、JVN iPedia(JVN#58774946)をご覧ください。
概要
株式会社ソリトンシステムズが提供する「FileZen」は、ファイル受け渡し専用アプライアンスです。「FileZen」には、OS コマンドインジェクションの脆弱性が存在します。
当該製品の管理者アカウントを取得した遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
当該製品の管理者アカウントを取得した遠隔の第三者によって、任意の OS コマンドを実行される可能性があります。
攻撃が行われた場合の影響が大きい問題であるため、できるだけ早急に、製品開発者が提供する情報をもとに、アップデートを実行してください。
本脆弱性の深刻度
対象
次の製品が対象です。
- FileZen V3.0.0 から V4.2.7 までのバージョン
- FileZen V5.0.0 から V5.0.2 までのバージョン
対策
---2021/3/5 更新---アップデートする
-
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
- FileZen V4.2.8
- FileZen V5.0.3
開発者は、本脆弱性を修正した次のファームウェアをリリースしています。
https://www.soliton.co.jp/support/2021/004334.html
ワークアラウンドを実施する
-
次の回避策を適用することで、本脆弱性の影響を軽減できます。
- 初期管理者アカウント「admin」を無効化する
- システム管理者アカウントの ID および Password を変更する
- システム管理者アカウントに対し、インターネットからのログオンができないよう設定する
開発者は当該製品に対し、以下の対策を実施することを推奨しています。
参考情報
- ファイル・データ転送アプライアンスFileZenに関する注意喚起
https://www.jpcert.or.jp/at/2021/at210009.html - 「情報セキュリティ早期警戒パートナーシップ」について
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。詳細は、下記の URL を参照ください
https://www.ipa.go.jp/security/vuln/report/index.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
2021年03月05日 | 対策を更新 |
---|---|
2021年02月16日 | 掲載 |