RTシリーズのセキュリティに関するFAQ


「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について


最終変更日 2018/Aug/29
文書サイズ 8.3K

「ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性」について


概要

ヤマハネットワーク製品の複数のGUIページにスクリプトインジェクションの脆弱性がある事が分かりました。
JPCERT様の以下のページでも公開されています。

(✔:該当、−非該当)
JVN No. CVE No. ルーター/
ファイアウォール
無線LANアクセスポイント L2/L3スイッチ
JVN#69967692 CVE-2018-0665
CVE-2018-0666

対策方法につきましては以下をご確認ください。

なお、ヤマハ無線LANアクセスポイント と ヤマハL2/L3スイッチ はこの脆弱性の影響を受けません。



○ヤマハ ルーター および ファイアウォール について


脆弱性と概要

本脆弱性を使用することにより、ヤマハルーターおよびファイアウォールの「かんたん設定ページ」の特定の設定ページにアクセスしたユーザーに不正なスクリプトを実行させることが可能となります。
不正なスクリプトを実行することにより、不正プログラムの感染、情報詐取、他の不正サイトへの誘導、などの被害を受ける可能性があります。

対象となる機種およびファームウェア

機種 該当ファームウェア
RT57i Rev.8.00.95以前
RT58i Rev.9.01.51以前
NVR500 Rev.11.00.36以前
RTX810 Rev.11.01.31以前
FWX120 Rev.11.03.25以前

対策

該当不具合は以下のファームウェアで修正していますので、最新ファームウェアへのリビジョンアップをお願いします。

機種 対策済みファームウェア
RT57i Rev.8.00.98
RT58i Rev.9.01.53
NVR500 Rev.11.00.38
RTX810 Rev.11.01.33
FWX120 Rev.11.03.27

回避策

脆弱性の対策済みファームウェアの使用が困難な場合、以下の方法で回避することができます。



○ヤマハ 無線LANアクセスポイントについて


ヤマハ 無線LANアクセスポイント WLXシリーズ はこの脆弱性の影響を受けません。



○ヤマハ L2/L3スイッチ について


ヤマハ L2/L3スイッチ SWXシリーズ はこの脆弱性の影響を受けません。



関連情報

更新履歴

2018/08/29 : 公開
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]