Portable SDK for UPnPにバッファオーバーフローの脆弱性

掲載番号:NV13-003
脆弱性情報識別番号:JVNVU#90348117, VU#922681

概要

Portable SDK for UPnPのunique_service_name()関数には、SSDPリクエストの処理に起因するバッファオーバーフローの脆弱性が存在します。
細工されたSSDPリスクエストを処理することにより、任意のコードが実行されるなどの可能性があります。

対象製品

Atermシリーズ

影響の有無

あり

対象となる製品のバージョン

- Aterm WR9500N

- Aterm WR9300N

- Aterm WR8750N

- Aterm WR8700N

- Aterm WR8600N

- Aterm WR8370N

- Aterm WR8175N

- Aterm WR8170N

対処方法

[回避策]

[クイック設定Web]にて、メディアサーバ機能を無効にしてください。

メディアサーバ機能を無効にする手順は下記URLに掲載しています。

[対策]

対応ファームウェアを2013年4月頃に提供予定です。

提供を開始した際には下記URLにお知らせを掲載します。

Aterm製品におけるメディアサーバ機能のUPnPのセキュリティ向上のための対処方法について
http://121ware.com/product/atermstation/technical/2013/tech0131.html

IP38Xシリーズ

影響の有無

なし

参考情報

Japan Vulnerability Notes JVNVU#90348117:

Portable SDK for UPnP にバッファオーバーフローの脆弱性

https://jvn.jp/cert/JVNVU90348117/index.html

US-CERT VU#922681:

Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP

https://www.kb.cert.org/vuls/id/922681

CVE

CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5958

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5959

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5960

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5961

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5962

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5963

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5964

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5965

更新情報

2013/02/15: IP38Xシリーズを追加しました。NEW
2013/02/01: タイトルを更新しました。NEW
2013/01/31: Atermシリーズを登録しました。NEW
2013/01/30: ページを公開しました。NEW

サイト内の現在位置を表示しています。

Portable SDK for UPnPにバッファオーバーフローの脆弱性

概要

対象製品

Atermシリーズ

影響の有無

対象となる製品のバージョン

対処方法

IP38Xシリーズ

影響の有無

参考情報

更新情報