【活用ガイド】

[English]

JVNDB-2008-000005

複数のヤマハルーター製品におけるクロスサイトリクエストフォージェリの脆弱性

概要

ヤマハ株式会社が提供するヤマハルーター製品のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。

ヤマハ株式会社が提供するヤマハルーター製品には、ウェブブラウザから各機能を設定できるウェブ管理画面があります。このウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。

2月1日ヤマハからの連絡により、影響を受けるシステムに RTV01 を追加し、RT52pro を削除しました。

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダとの調整を行いました。
報告者: 片桐 弘敬 氏

CVSS による深刻度 (CVSS とは?)

基本値: 4.0 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的

影響を受けるシステム


ヤマハ
  • NetVolante シリーズ RT58i
  • NetVolante シリーズ RT57i
  • NetVolante シリーズ RT56v
  • NetVolante シリーズ RTA55i
  • NetVolante シリーズ RTA54i
  • NetVolante シリーズ RTA52i
  • NetVolante シリーズ RTA50i
  • NetVolante シリーズ RT60w
  • NetVolante シリーズ RTW65i
  • NetVolante シリーズ RTW65b
  • NetVolante シリーズ RT80i
  • RT シリーズ RT107e
  • RTV シリーズ RTV700
  • RTV シリーズ RTV01
  • RTX シリーズ RTX1100
  • RTX シリーズ RTX1500
  • RTX シリーズ RTX1000
  • SRT シリーズ SRT100
日本電気
  • IP38Xシリーズ 58i
  • IP38Xシリーズ 57i
  • IP38Xシリーズ 55i
  • IP38Xシリーズ 1500
  • IP38Xシリーズ 1100
  • IP38Xシリーズ 1000
  • IP38Xシリーズ V700
  • IP38Xシリーズ 107e
  • IP38Xシリーズ SR100

想定される影響

当該製品の管理者が、ウェブ管理画面にログインした状態で悪意あるページを読み込んだ場合、パスワードなどの設定が変更される可能性があります。
対策

アップデートする
ファームウェアを最新バージョンへアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。

設定を変更する
ウェブブラウザから設定を変更することができないように設定を変更してください。
詳しくはベンダが提供する情報をご確認ください。
ベンダ情報

ヤマハ 日本電気
  • NEC製品セキュリティ情報 : NV08-001
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトリクエストフォージェリ(CWE-352) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-0524
参考情報

  1. JVN : JVN#88575577
  2. National Vulnerability Database (NVD) : CVE-2008-0524
  3. IPA 重要なセキュリティ情報 : 200801_Yamaha
  4. Secunia Advisory : SA28690
  5. SecurityFocus : 27491
  6. ISS X-Force Database : 40015
更新履歴

[2008年01月28日]
  掲載
[2008年02月01日]
  影響を受けるシステムを変更し JPCERT/CC からの補足情報を概要に追記しました。 
  影響を受けるシステム:日本電気 (NV08-001) の情報追加。
  ベンダ情報:日本電気 (NV08-001) の情報追加。