Si-Rシリーズ/SR-M50AP1 Web管理インタフェースにおける脆弱性について(更新)
初回掲載日:2023年7月26日(更新日:2023年8月2日)
1.概要
Si-Rシリーズ/SR-M50AP1を操作するWeb管理インタフェースには脆弱性が存在します。
Web管理インタフェースにて、パスワード認証無しにログインされ、不正な操作(※1)が行われる可能性があります。
- JVNVU#96643580
富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズにおける認証回避の脆弱性(JVN)
(※1)例えば以下のような操作が可能になります。
- Si-Rシリーズ/SR-M50AP1の設定変更を行う事による、お客様業務の妨害・停止
- Si-Rシリーズ/SR-M50AP1の構成定義情報の取得
脆弱性を突く攻撃は、装置の管理者がSi-Rシリーズ/SR-M50AP1のWeb管理インタフェースを使用している場合にのみ発生します。
Web管理インタフェースを使用しないことで、本脆弱性は回避可能です。
また、http/httpsサーバ機能を無効とすることで、Web管理インタフェース機能を無効にできます。
[Web管理インタフェース機能を無効にするための設定方法]
以下にhttp/httpsサーバ機能を無効にするための設定方法を示します。
<Si-Rシリーズ>
Si-R G210、Si-R G211、Si-R G120、Si-R G121の場合
# serverinfo http ip off
# serverinfo http ipv6 off
# serverinfo https ip off
# serverinfo https ipv6 off
Si-R G100B、Si-R G110B、Si-R G200B、Si-R G100、Si-R G200の場合
(httpsサーバ機能は未サポート)
# serverinfo http ip off
# serverinfo http ipv6 off
Si-R 130B、Si-R 30Bの場合(※)
(httpsサーバ機能およびIPv6機能は未サポート)
# serverinfo http ip off
Si-R 570B、Si-R 370B、Si-R 220D、Si-R 90brinの場合
(httpsサーバ機能は未サポート)
# serverinfo http ip off
# serverinfo http ip6 off
※ httpsサーバ機能および、IPv6未サポートな機種については、serverinfo http ip offのみ設定ください。
※ Si-R 130B、Si-R 30Bについては、httpサーバ機能を無効にする設定が実行可能となる以下ソフトウェア版数へのアップデートが必要です。
Si-R 130B:V04.09(2023/7提供済)
Si-R 30B:V02.05(2023/7提供済)
<SR-M50AP1>(httpsサーバ機能、IPv6は未サポート)
# serverinfo http ip off
2.該当製品
本脆弱性の影響を受ける製品および、ソフトウェア版数は以下の通りです。
機種名 | 対象版数 |
---|---|
Si-R G210、Si-R G211 Si-R G120、Si-R G121 |
全版数 |
Si-R G100B、Si-R G110B Si-R G200B |
全版数 |
Si-R G100、Si-R G200 | 全版数 |
Si-R570B、Si-R370B Si-R220D |
全版数 |
Si-R 130B、Si-R 30B | 全版数 |
Si-R 90brin | 全版数 |
SR-M50AP1 | 全版数 |
※ SR-M610AP1/630AP1は該当しません。
3.対処版数、時期
機種名 | 対処版数 | 提供時期 |
---|---|---|
Si-R G210、Si-R G211 Si-R G120、Si-R G121 |
V20.53 | 2023年8月提供済 |
Si-R G100B、Si-R G110B Si-R G200B |
V04.13 | 2023年8月提供済 |
Si-R G100、Si-R G200 | V02.55 | 2023年8月提供済 |
Si-R570B、Si-R370B Si-R220D |
― | 対処予定なし |
Si-R 90brin | ― | 対処予定なし |
Si-R 130B、Si-R 30B | ― | 対処予定なし |
SR-M50AP1 | ― | 対処予定なし |
※ 対処版数のソフトウェアは、提供時期以降で公開ホームページからダウンロード可能です。
以下のURLから取得して下さい。
https://www.fujitsu.com/jp/products/network/download/sir/firm/
4.お問い合わせ窓口
本事象の内容及び対処方法に関するお問い合わせにつきましては、以下のお問い合わせ窓口にて対応させていただきます。
必要事項をご記入の上、以下の宛先まで、メールにてご連絡くださいますようお願いいたします。別途、弊社担当者より、お問い合わせ内容についてご回答させていただきます。
尚、お問い合わせいただきました内容によっては、ご回答までに時間を要する場合がありますので、予めご了承願います。
脆弱性問い合わせ窓口(メール受付:9:00-17:00、ただし弊社規定の休業日を除く)
E-Mail: contact-fj-sir-vul23-01@cs.jp.fujitsu.com
必要事項
- お客様名(会社名、ご担当者名、ご連絡先E-mailアドレス)
- 弊社担当営業部門、販売パートナー担当営業部門、担当者名 ※不明な場合は記入不要です。
- 機種名(装置型名、装置号機)
- お問合せ内容
この製品に関するお問い合わせは、富士通株式会社のフォームを使用し、2024年4月1日よりエフサステクノロジーズ株式会社が対応いたします。