JPCERT/CC、UPnPの脆弱性に対して注意喚起……多数のネットワーク機器が該当 | RBB TODAY

JPCERT/CC、UPnPの脆弱性に対して注意喚起……多数のネットワーク機器が該当

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は31日、「Portable SDK for UPnPの脆弱性に関する注意喚起」を公開した。

エンタープライズ セキュリティ
今回の脆弱性に関する、NECの告知ページ
  • 今回の脆弱性に関する、NECの告知ページ
  • 今回の脆弱性に関する、古河電工(FITEL)の告知ページ
 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は31日、「Portable SDK for UPnPの脆弱性に関する注意喚起」を公開した。

 今回の注意喚起は、セキュリティ企業Rapid7が、「libupnp」の脆弱性を指摘したことが発端となっており、日本時間1月30日にUS-CERTより、「Portable SDK for UPnP(libupnp)」の脆弱性に関する情報が公開された。JPCERT/CCによる注意喚起はこれを受けてのものとなる。

 「libupnp」は、ブロードバンドルータ、IP電話機、ネット対応TVやHDDレコーダーなど、多くの機器においてUPnP機能を実装するために使用されているソフトウェアライブラリだ。「libupnp」には既知のバッファオーバーフローの脆弱性があり、細工されたSSDPパケットを該当機器が受信した場合、任意のコードが実行される可能性があるという。

 対象となるバージョンはUPnP SDK 1.2(Intel SDK)、UPnP SDK 1.6.17およびそれ以前のバージョン(Portable SDK)。脆弱性の対象製品については、今後各製品ベンダーから対策済みソフトウェアの公開やアップデートが行われると思われる。ただし、インターネットから直接アクセスが可能な対象機器(ブロードバンドルータなど)を管理している場合は、対策済みソフトウェアが公開されるまでの間、該当製品のUPnP機能を一時的に無効とすることが推奨されている。
《冨岡晶》

関連ニュース

特集

page top