公開日:2008/01/28 最終更新日:2008/02/01

JVN#88575577
複数のヤマハルーター製品におけるクロスサイトリクエストフォージェリの脆弱性

概要

ヤマハ株式会社が提供するヤマハルーター製品のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。

影響を受けるシステム

  • SRT100
  • RT58i
  • RT57i
  • RT56v
  • RTA55i
  • RTA54i
  • RTA52i
  • RTA50i
  • RT60w
  • RTW65i
  • RTW65b
  • RTX1100
  • RTX1500
  • RT107e
  • RTV700
  • RTX1000
  • RT80i
  • RTV01

    • 詳しくはベンダが提供する情報をご確認ください。

詳細情報

ヤマハ株式会社が提供するヤマハルーター製品には、ウェブブラウザから各機能を設定できるウェブ管理画面があります。このウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。

想定される影響

当該製品の管理者が、ウェブ管理画面にログインした状態で悪意あるページを読み込んだ場合、パスワードなどの設定が変更される可能性があります。

対策方法

アップデートする
ファームウェアを最新バージョンへアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。

設定を変更する
ウェブブラウザから設定を変更することができないように設定を変更してください。
詳しくはベンダが提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
ヤマハ 該当製品あり 2008/01/28 ヤマハ の告知ページ
日本電気 該当製品あり 2008/01/31

参考情報

  1. IPA
    複数のヤマハルーター製品におけるセキュリティ上の弱点(脆弱性)の注意喚起

JPCERT/CCからの補足情報

2月1日ヤマハからの連絡により、影響を受けるシステムに RTV01 を追加し、RT52pro を削除しました。

JPCERT/CCによる脆弱性分析結果

2008.01.28における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。
報告者: 片桐 弘敬 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2008-000005

更新履歴

2008/01/31
日本電気の JVN#88575577への対応が更新されました。
2008/02/01
影響を受けるシステムを変更し JPCERT/CC からの補足情報を追記しました。