Revision : 11.00.38 Release : May. 2018, ヤマハ株式会社 Rev.11.00.38 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.11.00.38以降のファームウェアへリビジョンアップを行う際には以下の点にご注意く ださい。 Rev.11.00.38では以下の変更をしています。 「NVR500 Rev.11.00.38 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/NVR500/relnote_11_00_38.txt [1] 本機にアクセスするときのセキュリティーを強化した。 (9) telnetd hostコマンドでパラメータとしてlanを指定できるようにし、工場出荷 状態の設定にtelnetd host lanコマンドを追加した。 Rev.11.00.38以降のファームウェアを使用して工場出荷状態からプロバイダーを設定す ると、上記のコマンドが設定されているため遠隔からTELNETでログインができなくなり ます。 遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してくだ さい。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ NVR500 Rev.11.00.36 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] スクリプトインジェクションの脆弱性対応を行った。 - CVE-2018-0665 (JPCERT/CC JVN#69967692) - CVE-2018-0666 (JPCERT/CC JVN#69967692) ■機能追加 [1] 本機にアクセスするときのセキュリティーを強化した。 (1) login password [encrypted]コマンド、administrator password [encrypted]コ マンド、login userコマンドを設定したときにパスワード強度を出力するように した。 パスワードを空に設定した場合は、設定を促すメッセージを出力するようにした。 - パスワード未設定 "Password is not set. Please set the password in order to enhance the security." - パスワード強度 弱 "Password Strength : Weak" - パスワード強度 中 "Password Strength : Fair" - パスワード強度 強 "Password Strength : Strong" - パスワード強度 最強 "Password Strength : Very strong" (2) かんたん設定ページの以下のページで、パスワードを変更したときにパスワード 強度を表示するようにした。 - [詳細設定と情報]-[ユーザとアクセス制限の設定] - [詳細設定と情報]-[ユーザとアクセス制限の設定]-[無名ユーザの設定] - [詳細設定と情報]-[ユーザとアクセス制限の設定]-[ユーザの一覧]-[ユーザの 追加] - [詳細設定と情報]-[ユーザとアクセス制限の設定]-[ユーザの一覧]-[ユーザの 修正] (3) シリアル、TELNET、SSH、リモートセットアップで、login passwordコマンドの 設定値が工場出荷状態のまま無名ユーザーがログインしたときに、以下のメッセー ジを出力するようにした。 "The login password is factory default setting. Please request an administrator to change the password by the 'login password' command." (4) シリアル、TELNET、SSH、リモートセットアップで、administrator passwordコ マンドの設定値が工場出荷状態のままadministratorコマンドで管理者権限に昇 格したときに、以下のメッセージを出力するようにした。 "The administrator password is factory default setting. Please change the password by the 'administrator password' command." (5) 以下の手段でログインに3回連続で失敗したら1分間ログインできなくなるように した。 - シリアルコンソール - リモートセットアップ - TELNET - SSH - SFTP アクセス制限時の動作は以下の通り。 - アクセス制限は接続種別ごとに行われる ただし、TELNETとSSHに関しては接続元IPアドレスごとに制限される - アクセス制限がかかったときは、以下のINFOレベルのSYSLOGを出力する "Login access from 接続種別 was restricted. [: IPアドレス]" - 接続種別は"Serial", "Remote", "TELNET", "SSH"のいずれか - IPアドレスはTELNETまたはSSHのときに表示される - アクセス制限中にログインしようとすると、コンソールとSYSLOGには以下のメッ セージを出力する ユーザー名は無名ユーザー以外でアクセスしたときに表示される コンソール:"Error: Login access is restricted." SYSLOG:"Login failed for 接続種別[: IPアドレス [ユーザー名]]" (6) かんたん設定ページへのログインに3回連続で失敗したら1分間ログインできなく なるようにした。 アクセス制限時の動作は以下の通り。 - アクセス制限はクライアントのIPアドレスごとに管理される - ステータスコード403を返し、アクセス制限中であることを表示する - アクセス制限がかかったときは、以下のINFOレベルのSYSLOGを出力する "Login access from HTTP was restricted. : IPアドレス" - アクセス制限中にログインしようとすると、SYSLOGには以下のメッセージを出 力する "Login failed for HTTP: IPアドレス" (7) 管理パスワードまたはログインパスワードが工場出荷時の設定のままでかんたん 設定ページにログインしたとき、パスワードの設定変更を促すメッセージを表示 するようにした。 (8) かんたん設定ページにアクセスし、ログインしないで認証ダイアログを閉じたと きに表示されるページを「Error 401」に変更した。 (9) telnetd hostコマンドでパラメータとしてlanを指定できるようにし、工場出荷 状態の設定にtelnetd host lanコマンドを追加した。 (10) pptp hostnameコマンドの初期値を機種名から空文字("")にした。 (11) PPTPのベンダー名を設定できるようにした。 ○PPTPのベンダー名の設定 [書式] pptp vendorname NAME no pptp vendorname [設定値および初期値] NAME [設定値] : ベンダー名(64バイト以下) [初期値] : - [説明] PPTPベンダー名を設定する。 [ノート] 本コマンドで設定した値がStart-Control-Connection-Requestと Start-Control-Connection-Replyのベンダー名にセットされる。 本コマンドが設定されていないときはベンダー名に空文字がセットされる。 NVR500 Rev.11.00.38以降のファームウェアで使用可能。 それ以外のファームウェアではベンダー名に"YAMAHA Corporation"がセット される。 (12) HTTPレスポンスヘッダから、機種を特定できる文字列を削除した。 変更前 Server: YAMAHA-RT WWW-Authenticate: Basic realm="[YAMAHA-RT]" 変更後 Server: Router WWW-Authenticate: Basic realm="[Router]" [2] モバイルインターネット機能で、以下のデータ通信端末に対応した。 - NTTコム UX302NC-R - ソフトバンク 604HW v1.04以降 http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html 外部仕様書をよくご確認のうえ、ご利用ください。 [3] VPNクライアントソフトYMS-VPN8に対応した。 http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8.html 設定例をご確認のうえ、ご利用ください。 ■仕様変更 [1] モバイルインターネット機能で、NTTコム UX302NCの網からの切断処理を変更した。 [2] 以下のデータ通信端末を使用するとき、show status usbhostコマンドでデータ通信 端末のRevisionを表示するようにした。 - NTTコム UX302NC ■バグ修正 [1] ひかり電話の追加番号で発信した場合に、着信側の設定によりボイスワープで転送さ れると、転送先の番号表示に契約者番号が表示されるバグを修正した。 [2] モバイルインターネット機能のPPインターフェース接続で、網への接続ができなく なることがあるバグを修正した。 Rev.11.00.25以降でのみ発生する。 [3] telnetd hostコマンドでパラメータanyまたはnoneの後に任意の文字列を入力しても エラーにならないバグを修正した。 ■更新履歴 May, 2018, Rev.11.00.38 リリース Jun. 2018, 機能追加[2] 追記 Jun. 2018, 機能追加[2]において、604HWの対応ソフトウェアバージョンをv1.04以降に変更 Aug. 2018, 機能追加[3] 追記 Aug. 2018, 脆弱性対応[1] 追加 Nov. 2018, 「ファームウェアのリビジョンアップを行う前に必ずお読みください」追記