HTTPサービスに関するバッファオーバーフローの脆弱性
アライドテレシス株式会社
公開 2014.11.11
更新 2015.01.22
英語ページ (English Page) >
Alliedware搭載製品の以下Firmware versionは当該脆弱性に該当致します。
1) 脆弱性の概要
細工された HTTP リクエストを受信した場合、任意のコードを実行される可能性が
あります。
2) 対象製品
Firmware version 2.9.1-20以前を搭載した以下製品
[1] 日本と海外で販売された製品
ルータ
- CentreCOM AR415S
- CentreCOM AR450S (サポート終了)
スイッチ
- CentreCOM 8700XL シリーズ (サポート終了)
- CentreCOM 9812T シリーズ (サポート終了)
- CentreCOM 9816GB シリーズ (サポート終了)
- CentreCOM 9924Ts シリーズ (サポート終了)
- CentreCOM 9924T/4SP シリーズ (サポート終了)
- CentreCOM 9924SP (サポート終了)
- SwitchBlade4000
[2] 日本のみで販売された製品
ルータ
- CentreCOM AR300 v2 (サポート終了)
- CentreCOM AR300L v2 (サポート終了)
- CentreCOM AR320 (サポート終了)
- CentreCOM AR410(S) v2 (サポート終了)
- CentreCOM AR720(S) (サポート終了)
- CentreCOM AR740(S) (サポート終了)
- CentreCOM AR550S
- CentreCOM AR560S
- CentreCOM AR570S
スイッチ
- CentreCOM 8700SL シリーズ (販売終了)
- CentreCOM 8724SLv2
- CentreCOM 8948XL シリーズ (販売終了)
[3] 海外のみで販売された製品
ルータ
- AR440S
- AR441S
- AR442S
- AR745 (販売終了)
- AR750S
- AR750S-DP
スイッチ
- AT-8624T/2M (販売終了)
- AT-8648T/2SP (販売終了)
- AT-8624POE (販売終了)
- AT-8848 (販売終了)
- AT-9924T (販売終了)
- Rapier 48i (販売終了)
3) 影響
Alliedware搭載製品は初期設定にてHTTPサービスが動作しており、
当該脆弱性の攻撃を受ける可能性があります。
4) 対策
以下いずれかの回避策についてご検討をお願い致します。
@ Firmwareのversion up
Firmware version 2.9.1-21以降は本脆弱性が修正されております。
(サポート終了製品では上記バージョンがリリースされていない製品
もあります。)
A HTTPサービスの無効化
以下コマンドを実行する事で、HTTPサービスを無効化する事が可能です。
"DISABLE HTTP SERVER"
B HTTPによるアクセスの遮断
ファイアウォール機能やパケットフィルター機能を利用し、筐体宛の
HTTP通信を遮断します。
|