GPS追跡システムに緊急の脆弱性、アップデートを
マイナビニュース / 2024年8月28日 7時32分
Horizon3.aiは8月23日(米国時間)、「Traccar 5 Remote Code Execution Vulnerabilities – Horizon3.ai」において、オープンソースのGPS追跡システム「Traccar」に緊急の脆弱性が存在すると報じた。これら脆弱性を悪用されると、認証されていない第三者に遠隔から管理者権限で任意のファイルを作成される可能性がある。
○脆弱性の情報
脆弱性の情報は次のページにまとまっている。
Unrestricted file upload vulnerability in device image upload could lead to remote code execution Advisory traccar/traccar GitHub
Path Traversal: 'dir/../../filename' and Unrestricted Upload of File with Dangerous Type in traccar Advisory traccar/traccar GitHub
脆弱性の情報(CVE)は次のとおり。
CVE-2024-31214 - ファイルの無制限アップロードの脆弱性。認証された攻撃者は制限されたファイル名にて任意のディレクトリに任意の内容のファイルをアップロードできる可能性がある
CVE-2024-24809 - パストラバーサルの脆弱性。認証された攻撃者は任意のディレクトリに「device.」という接頭辞のファイル名にて任意の内容のファイルをアップロードできる可能性がある
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
traccar 5.12およびこれ以前のバージョン
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
traccar 6.0
○脆弱性の影響と対策
バージョン6.0より前のTraccarはデフォルトで登録が有効になっており、誰でもアカウントを作成することができる。そのため、攻撃者はデフォルト設定のTraccarに一般ユーザーアカウントを作成し、脆弱性を悪用して任意のコマンドを実行することができる。
しかしながら、脆弱性には以下の制限があり、ファイル名を自由に指定することはできない。
既存のファイルは上書きできない
任意の拡張子を持つ「device.」ファイルを作成できる
ダブルクォーテーションで終わるファイル名を作成できる
ダブルクォーテーション、セミコロン、等号記号を含むファイル名を作成できる
これら条件のうち最後の2つはWindowsのファイル名として使用できないため、Windows環境には影響しない。しかしながら、「device.lnk」ファイルを作成することで攻撃者は任意のコマンドをスタートアップに登録することができる。
これら脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。Traccarを運用している管理者には速やかなアップデートが推奨されている。
(後藤大地)
この記事に関連するニュース
ランキング
-
1『ドラクエ3』職業「まもの使い」登場 11月14日発売で予約受付スタート
ORICON NEWS / 2024年8月27日 23時21分
-
2GPS追跡システムに緊急の脆弱性、アップデートを
マイナビニュース / 2024年8月28日 7時32分
-
3【台風10号の影響】ドコモ、携帯電話サービスに通信障害
ASCII.jp / 2024年8月28日 9時36分
-
4ドバイが片道1万円台!? この秋、航空券が安いお得な海外旅行先 3選
ASCII.jp / 2024年8月28日 7時30分
-
5藤田ニコル、「にこるん妊娠してる?」→「あんまり言ってほしくない」 ふんわりワンピ姿への声に「ほんと失礼すぎる」
ねとらぼ / 2024年8月26日 20時10分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください