タグ

ブックマーク / security.srad.jp (2)

  • 全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ

    ドイツの家電メーカーMiele(ミーレ)の業務用全自動器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある器洗い機も少ないとは思われるが、第三者によって器洗い機が乗っ取られ

    全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
    brendon
    brendon 2017/03/31
  • Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記

    今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す

  • 1