【活用ガイド】

JVNDB-2012-005929

Portable SDK for UPnP Devices におけるスタックベースのバッファオーバーフローの脆弱性

概要

Portable SDK for UPnP Devices の SSDP パーサの ssdp/ssdp_server.c 内の unique_service_name 関数には、スタックベースのバッファオーバーフローの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


Portable SDK for UPnP project
  • Portable SDK for UPnP Devices 1.3.1
ソニー
  • TA-DA5700ES
古河電気工業
  • FITELnet-Fシリーズ F60
  • FITELnet-Fシリーズ -F80
  • FITELnet-Fシリーズ -F100 (V01.09(00) 以降)
  • FITELnet-Fシリーズ -F140
  • FITELnet-Fシリーズ F200
日本電気
  • Aterm WR8170N
  • Aterm WR8175N
  • Aterm WR8370N
  • Aterm WR8600N
  • Aterm WR8700N
  • Aterm WR8750N
  • Aterm WR9300N
  • Aterm WR9500N

上記以外の製品も本脆弱性の影響を受ける可能性があります。
影響を受ける製品および対策については、JVNVU#90348117VU#922681、および各ベンダの提供する情報をご確認ください。
想定される影響

第三者により、UDP パケット内の過度に長い DeviceType フィールドを介して、任意のコードを実行される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

D-Link Corporation Portable SDK for UPnP project アライドテレシス シーメンス シスコシステムズ シスコシステムズ (Linksys) ソニー 古河電気工業 日本電気
  • NEC製品セキュリティ情報 : NV13-003
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2012-5965
参考情報

  1. JVN : JVNVU#90348117
  2. National Vulnerability Database (NVD) : CVE-2012-5965
  3. JPCERT 注意喚起 : JPCERT-AT-2013-0006
  4. US-CERT Vulnerability Note : VU#922681
更新履歴

[2013年02月04日]
  掲載
[2013年07月24日]
  ベンダ情報:アライドテレシス (UPnP機能有効時における問題点について) を追加