https://www.bravotouring.com/~yano/archives/2013/01/31/ Recent content in 2013/01/31 on Yano's digital garage Hugo en-us Thu, 31 Jan 2013 23:47:20 +0900 https://www.bravotouring.com/~yano/diary/it/20130131upnp.htm Thu, 31 Jan 2013 23:47:20 +0900 https://www.bravotouring.com/~yano/diary/it/20130131upnp.htm <p><a href="http://internet.watch.impress.co.jp/docs/news/20130130_585670.html">UPnPライブラリに脆弱性</a>というアラート。</p> <table align="right" class="Landscape"> <tr> <td><img alt="Aterm WR8750Nのクイック設定Web" src="https://www.bravotouring.com/~yano/images/2013/20130131upnp.jpg"/></td> </tr> <tr> <td class="PhotoMemo">クイック設定Web</td> </tr> </table> <p><a href="http://jpn.nec.com/security-info/secinfo/nv13-003.html">NV13-003: SDK for UPnPにバッファオーバーフローの脆弱性</a>に書かれてあるように、<a href="https://www.bravotouring.com/~yano/diary/it/20120203aterm.htm">Aterm WR8750N</a>も含まれる。「対処版ファームウェアは2013年4月頃に提供予定」だそうだ。</p> <p>ちなみに、影響を受けるのはメディアサーバ機能でありUSB接続機器の共有を諦めて「メディアサーバ機能を無効」にすれば良いらしい。WAN側からの攻撃では発生しないそうだし、現象としては「製品が再起動される可能性がある」程度らしいので、それならメディアサーバ機能は有効にしててもいいような気がするのだが、乗っ取られる可能性が無いと受け取って良いかどうかは微妙だな。ルーターで言うところのUPnP機能についても触れていないし、取り敢えずUPnP機能も無効にしておくのが賢明か。</p> <p>ソニーのAVアンプも引っかかるそうだが、マランツやDENONもネットワーク対応アンプを出しているし、<a href="http://www.oppodigital.com/blu-ray-bdp-95/blu-ray-BDP-95-Support.aspx">OPPO BDP-95</a>も大丈夫かな？</p> <p class="Reference">【参照】 <br/>●INTERNET Watch <a href="http://dc.watch.impress.co.jp/">http://dc.watch.impress.co.jp/</a> <br/>┣<a href="http://internet.watch.impress.co.jp/docs/news/20130130_585670.html">UPnPのオープンソースライブラリに脆弱性、数千万台に影響</a> 2013年1月30日 <br/>┗<a href="http://internet.watch.impress.co.jp/docs/news/20130131_585857.html">UPnPライブラリの脆弱性、ソニーのAVアンプなどにも影響</a> 2013年1月31日 <br/>●ITmedia ニュース <a href="http://www.itmedia.co.jp/news/">http://www.itmedia.co.jp/news/</a> <br/>┗<a href="http://www.itmedia.co.jp/news/articles/1301/30/news037.html">「UPnP」に脆弱性見つかる、ルータなど数千万台に影響</a> 2013年1月30日 <br/>●Japan Vulnerability Notes <a href="http://jvn.jp/">http://jvn.jp/</a> <br/>┗<a href="http://jvn.jp/cert/JVNVU90348117/">JVNVU#90348117: Portable SDK for UPnP にバッファオーバーフローの脆弱性</a> 2013年1月30日 <br/>●Vulnerability Notes <a href="http://www.kb.cert.org/vuls/">http://www.kb.cert.org/vuls/</a> <br/>┗<a href="http://www.kb.cert.org/vuls/id/922681">Vulnerability Note VU#922681 - Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP</a> 2013年1月30日 <br/>●JPCERT コーディネーションセンター <a href="https://www.jpcert.or.jp/">https://www.jpcert.or.jp/</a> <br/>┗<a href="https://www.jpcert.or.jp/at/2013/at130006.html">Portable SDK for UPnP の脆弱性に関する注意喚起</a> 2013年1月31日 <br/>●AtermStation <a href="http://121ware.com/product/atermstation/">http://121ware.com/product/atermstation/</a> <br/>┗<a href="http://121ware.com/product/atermstation/technical/2013/tech0131.html">Aterm製品におけるメディアサーバ機能のUPnPのセキュリティ向上のための対処方法について</a> 2013年1月31日 <br/>●NEC製品セキュリティ情報 <a href="http://jpn.nec.com/security-info/">http://jpn.nec.com/security-info/</a> <br/>┗<a href="http://jpn.nec.com/security-info/secinfo/nv13-003.html">NV13-003: SDK for UPnPにバッファオーバーフローの脆弱性</a> 2013年1月31日 <br/>●ソニー <a href="http://www.sony.jp/">http://www.sony.jp/</a> <br/>┗<a href="http://www.sony.jp/audio/info2/20130130.html">マルチチャンネルインテグレートアンプ「TA-DA5700ES」本体ソフトウェアアップデートに関するお知らせ</a> 2013年1月30日 </p>