RTシリーズのセキュリティに関するFAQ


WWWブラウザによる設定におけるクロスサイト・リクエスト・フォージェリの脆弱性について


最終変更日 2018/Nov/06
文書サイズ 16K

WWWブラウザによる設定におけるクロスサイト・リクエスト・フォージェリの脆弱性について


「かんたん設定ページ」など、WWWブラウザによりヤマハルーターを設定することのできる機能の実装に、クロスサイト・リクエスト・フォージェリの脆弱性が存在することが分かりました。

以下では、クロスサイト・リクエスト・フォージェリをCSRFと表記します。

脆弱性とその概要

対象となる機種

対策

暫定対策

以下に記述する対策では、完全に攻撃を防ぐことはできませんが、攻撃の可能性を下げることができると考えられます。

更新履歴

2008/01/28 :公開
2008/01/29 : RTA50iにはhttpd serviceコマンドが存在するので、存在しない機種をRT80iだけに限定
2008/02/01 : 攻撃が成立する条件を追加
暫定対策を追加
発生現象についての説明変更
対象機種の修正(RTV01を追加、RT52proを削除)
該当しないRTX1000のファームウェアリビジョンを明記
httpd service コマンドでの制限事項を追記
httpd hostコマンドでの対策方法を追加
2008/02/20 : 攻撃が成立する条件に注を追加
対策済みファームウェアのリリース予定機種を追加
2008/02/27 : RTX1000、RTX1100、RTX1500、RT107eの対策済みファームウェアリビジョンを記入
2008/03/17 : SRT100の対策済みファームウェアリビジョンを記入      
設定変更ツール”RT-VDefender”を公開
2008/05/26 : RTV700、RTV01の対策済みファームウェアリビジョンを記入

[ FAQ for RT-Series ]
[ FAQ for Security / IP-Filter / VPN(IPsec) / Intro / Install / Config ]