Web制作・ソフトウェアー設計・ネットワーク構築・ドローン撮影は福島市のドリームズカンパニーへ


スタッフブログ

ヤマハの一部ルーターにスクリプトインジェクションの脆弱性

2018年08月31日

 ヤマハ株式会社が発売したVoIPルーター「RT57i」「RT58i」「NVR500」、VPNルーター「RTX810」、ファイアウォール「FWX120」に脆弱性があるとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が運営する、Japan Vulnerability Note(JVN)が情報を公開しました。

 ネットワーク機器の管理画面にスクリプトインジェクションの脆弱性がCVE番号ベースで2件存在しており、いずれも管理者権限でアクセス可能なユーザーによってウェブブラウザー上で任意のスクリプトを実行される可能性があります。

 CVE番号は「CVE-2018-0665」「CVE-2018-0666」は2件。
いずれも共通脆弱性評価システムCVSS v3のスコアは4.3。
なお、同社製無線LANアクセスポイント「WLXシリーズ」や、L2/L3スイッチ「SWXシリーズ」はこの脆弱性の影響を受けないとしている。
▼詳細はこちら
https://jvn.jp/jp/JVN69967692/index.html

 影響を受けるファームウェアのバージョンは、RT57iがRev.8.00.95以前、RT58iがRev.9.01.51以前、NVR500がRev.11.00.36以前、RTX810がRev.11.01.31以前、FWX120がRev.11.03.25以前。

 対策として、各製品のサポートページからダウンロードできる脆弱性修正済みファームウェアの適用が推奨されている。
同ファームウェアのバージョンは、RT57iがRev.8.00.98、RT58iがRev.9.01.53、NVR500がRev.11.00.38、RTX810がRev.11.01.33、FWX120がRev.11.03.27。

 もし、脆弱性修正済みファームウェアの使用が困難な場合、以下のどちらかの設定で、ルーターおよびファイアウォールの「かんたん設定ページ」へのアクセスを無効にすることにより、脆弱性の影響を回避できるようです。

●httpd service offを設定し、HTTPサーバー機能を無効にする
●httpd host noneを設定し、全てのホストからのGUI設定画面へのアクセスを禁止する

これらの作業がご自身で行えない場合には、弊社にてご対応させていただきます。

ホームページ制作・システムプログラム開発・サーバー構築は 株式会社ドリームズカンパニー
Copyright(c) 2006-2018 dreams company corporation All Rights Reserved.