ヤマハより、下記の案内が発表されました。ヤマハ製のルーター・ファイアウォールをご利用中のお客様は、至急ファームウェアのリビジョンアップをしていただきますようお願い致します。
当社では以下の様に対応いたします。
- 「パソコンネットワーク保守サポート」をご利用中のお客様は、無料出張・無料リビジョンアップを実施しております。順次対応中です。
- 「小規模事業所向けファイアウォールレンタル」をご利用中のお客様は、無料出張・無料リビジョンアップを実施しております。順次対応中です。
- 保守契約・レンタル以外のお客様は、出張訪問サポート(有料スポット対応)でご対応いたします。参考価格:12,960円+出張費
記
【以下ヤマハHP掲載内容】
「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」についてのご案内
概要
ヤマハネットワーク製品の複数のGUIページにスクリプトインジェクションの脆弱性がある事が分かりました。
JPCERT様の以下のページでも公開されています。
| JVN No. | CVE No. | ルーター/ ファイアウォール |
無線LANアクセスポイント | L2/L3スイッチ |
|---|---|---|---|---|
| JVN#69967692 | CVE-2018-0665 CVE-2018-0666 |
✔ | - | - |
対策方法につきましては以下をご確認ください。
なお、ヤマハ無線LANアクセスポイント と ヤマハL2/L3スイッチ はこの脆弱性の影響を受けません。
○ヤマハ ルーター および ファイアウォール について
脆弱性と概要
本脆弱性を使用することにより、ヤマハルーターおよびファイアウォールの「かんたん設定ページ」の特定の設定ページにアクセスしたユーザーに不正なスクリプトを実行させることが可能となります。
不正なスクリプトを実行することにより、不正プログラムの感染、情報詐取、他の不正サイトへの誘導、などの被害を受ける可能性があります。
対象となる機種およびファームウェア
| 機種 | 該当ファームウェア |
|---|---|
| RT57i | Rev.8.00.95以前 |
| RT58i | Rev.9.01.51以前 |
| NVR500 | Rev.11.00.36以前 |
| RTX810 | Rev.11.01.31以前 |
| FWX120 | Rev.11.03.25以前 |
対策
該当不具合は以下のファームウェアで修正していますので、最新ファームウェアへのリビジョンアップをお願いします。
| 機種 | 対策済みファームウェア |
|---|---|
| RT57i | Rev.8.00.98 |
| RT58i | Rev.9.01.53 |
| NVR500 | Rev.11.00.38 |
| RTX810 | Rev.11.01.33 |
| FWX120 | Rev.11.03.27 |
回避策
脆弱性の対策済みファームウェアの使用が困難な場合、以下の方法で回避することができます。
- 本脆弱性は、以下のどちらかの設定によって、ヤマハルーターおよびファイアウォールの「かんたん設定ページ」へのアクセスを無効にする事により回避することができます。
- httpd service off を設定し、HTTPサーバー機能を無効にする
- httpd host none を設定し、全てのホストからのGUI設定画面へのアクセスを禁止する
○ヤマハ 無線LANアクセスポイントについて
ヤマハ 無線LANアクセスポイント WLXシリーズ はこの脆弱性の影響を受けません。
○ヤマハ L2/L3スイッチ について
ヤマハ L2/L3スイッチ SWXシリーズ はこの脆弱性の影響を受けません。
関連情報