RTシリーズのセキュリティに関するFAQ
GNU Bash 「OS コマンドインジェクション」の脆弱性について
最終変更日 | 2018/Nov/06 |
文書サイズ | 7.2K |
GNU Bash 「OS コマンドインジェクション」の脆弱性について
GNU Bashには、環境変数の処理にOSコマンドインジェクションの脆弱性が存在することが判明しました。
無線LANアクセスポイント WLX302以外の、ヤマハネットワーク製品(ルーター、ファイアウォール、L2スイッチ)はこの脆弱性の影響を受けないことが判明しております。
WLX302は本脆弱性に該当し、以下のいずれかのケースに合致する場合、遠隔の第三者によって任意のOSコマンドが実行される可能性があります。
対策方法につきましては以下をご確認の上で、必要な対策を行ってください。
機種 | リビジョン |
---|---|
WLX302 | すべてのリビジョン |
当該脆弱性への対策をした以下のファームウェアへのリビジョンアップをお願いします。
機種 | 対策済みファームウェア |
---|---|
WLX302 | Rev.12.00.13以降 |
対策ファームウェアには、以下の問題に対する修正が含まれています。
当該脆弱性の対策済みファームウェアの適用が難しい場合、以下の設定で回避することができます。
Web設定画面へのアクセスを制限する
Web設定画面、あるいはコマンドで設定します。
[設定方法]Web設定画面 | : | [管理機能]->[基本設定]->[管理パスワード]->[管理パスワードの変更] |
コマンド | : | administrator passwordコマンドを実行して設定します。 |
Web設定画面、あるいはコマンドで設定します。
[設定方法]Web設定画面 | : | [管理機能]->[基本設定]->[HTTPサーバー機能]->[HTTPの利用を許可するホスト] |
コマンド | : | httpd hostコマンドを実行して設定します。 |
※スイッチ制御機能をお使いの場合は、WLX302本体のWeb設定画面だけでなく、WLX302を管理するルーターやファイアウォールのGUIやかんたん設定ページへのアクセスも同様に制限してください。
IPアドレスの設定を固定する
Web設定画面、あるいはコマンドで設定します。
[設定方法]Web設定画面 | : |
[ネットワーク設定]->[LANポート設定]->[ネットワーク設定]->[DHCP(IPv4)]を「無効」に設定し、[IPアドレス (IPv4)]、[ネットマスク]をそれぞれ設定します。 また必要に応じて、[デフォルトゲートウェイ]、[DNSサーバー]の各項目も設定します。 |
コマンド | : | ip vlan-id id addressコマンドに"dhcp"ではなくIPアドレスを設定し、必要に応じて、ip route default gatewayコマンドおよびdns serverコマンドを設定します。 |
2014/09/29 : | 公開 |
2014/10/02 : | 調査の結果と対策、および回避策を追加 WLX302の対策済みファームウェアを「Rev.12.00.13以降」に更新 |
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]