- 2016年6月27日
- その他脆弱性情報
複数のひかり電話ルータに複数の脆弱性。
JVN等はNTT東日本、NTT西日本が提供するひかり電話ルータに複数の脆弱性が存在すると公開しました。
脆弱性内容
①OS コマンドインジェクション
CVSS v3=6.8
CVSS v2=5.2
②クロスサイトリクエストフォージェリ(CSRF)
CVSS v3=7.1
CVSS v2=4.0
発見されたシステム・バージョン
【東日本電信電話株式会社】
- ひかり電話ルータ PR-400MI ファームウェア Ver. 07.00.1006 およびそれ以前
- ひかり電話ルータ RV-440MI ファームウェア Ver. 07.00.1006 およびそれ以前
- ひかり電話ルータ RT-400MI ファームウェア Ver. 07.00.1006 およびそれ以前
【西日本電信電話株式会社】
- ひかり電話対応機器 PR-400MI ファームウェア Ver. 07.00.1005 およびそれ以前
- ひかり電話対応機器 RV-440MI ファームウェア Ver. 07.00.1005 およびそれ以前
- ひかり電話対応機器 RT-400MI ファームウェア Ver. 07.00.1005 およびそれ以前
※脆弱性内容①、②どちらも同じバージョンが対象です
想定される影響
当該製品の管理画面にログイン可能なユーザによって、当該製品上で任意の OS コマンドを実行される可能性があります。
当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。
対応方法
開発者の情報を元に最新版へアップデートしてください。
リンク先は以下の通りです。
【東日本電信電話株式会社】
■PR-400MI
http://web116.jp/ced/support/version/broadband/pr_400mi/index.html
■RT-400MI
http://web116.jp/ced/support/version/broadband/rt_400mi/index.html
■RV-440MI
http://web116.jp/ced/support/version/broadband/rv_440mi/index.html
【西日本電信電話株式会社】
■PR-400MI
http://www.ntt-west.co.jp/kiki/download/flets/pr400mi/index.html
■RT-400MI
http://www.ntt-west.co.jp/kiki/download/flets/rt400mi/index.html
■RV-440MI
http://www.ntt-west.co.jp/kiki/download/flets/rv440mi/index.html
NTT東日本の機器では前面下部分、NTT西日本の機器では前面に機種名が記載されておりますので、ご利用中の方はご確認下さい。
また、東日本の公式Q&Aによるとバージョン情報の確認は、
HGWにログインしていただき、「ファームウェアバージョン」に表示されているバージョンを確認してください。
とのことです。
ご利用の方は、製品型番ご確認のうえ、しかるべき対応をすることをお勧めします。
話は少しそれますが、NTT東日本の公式ページでは以下のQ&Aが2回でてきます。
きっとミスでしょうが、私には
「大事なことなので2度言いました」
なのかな?と思っています。
【ベンダリンク】
東日本電信電話株式会社:
お客様各位「PR-400MI、RT-400MI、RV-440MI」をご利用のお客さまへ
西日本電信電話株式会社: