JPCERT コーディネーションセンター

Portable SDK for UPnP の脆弱性に関する注意喚起

各位

JPCERT-AT-2013-0006
JPCERT/CC
2013-01-31

JPCERT/CC Alert 2013-01-31


Portable SDK for UPnP の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2013/at130006.html


I. 概要

2013年1月30日 (日本時間) US-CERT より、Portable SDK for UPnP(libupnp) の脆弱性に関する情報が公開されました。libupnp は、ブロードバンドルータなどの多くの機器において UPnP 機能を実装するために使用されています。

US-CERT によると、この libupnp にはバッファオーバーフローの脆弱性があり、細工された SSDP パケットを該当機器が受信した場合に、任意のコードが実行される可能性があります。

US-CERT Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
http://www.kb.cert.org/vuls/id/922681


II. 対象

対象となるバージョンは以下の通りです。

- UPnP SDK 1.2 (Intel SDK)
- UPnP SDK 1.6.17 およびそれ以前のバージョン (Portable SDK)

libupnp を使用している可能性のある製品カテゴリー
- ルータ等のネットワーク機器 (主に家庭向けブロードバンドルータ)
- IP 電話機器
- インターネット接続可能な TV, DVD/BD レコーダ
- その他 UPnP 機能を実装する製品

*) libupnp は多くのネットワーク機器に使用されており、特にブロードバン
ドルータのようなインターネットから直接アクセス可能な機器は、他のカ
テゴリーの製品より攻撃を受ける可能性は高くなると考えられます。


III. 対策

脆弱性の対象製品については、今後各製品ベンダーから対策済みソフトウエアが公開されると思われます。ベンダからの情報を元に、対策済みソフトウエアを適用する事を検討してください。該当機器にファームウエアの自動更新機能がある場合は、自動更新機能を ON にすることも有効です。

また、インターネットから直接アクセスが可能な対象機器 (ブロードバンドルータなど) を管理している場合は、対策済みソフトウエアが公開されるまでの間、該当製品の UPnP 機能を一時的に無効とすることを検討してください。ただし、この操作により UPnP 機能を使用している製品 (IP 電話機器、メッセンジャーなど) が使用できなくなる可能性があります。その場合は、UPnPを使用したい機器からのみ 1900/udp パケットを受信するようにフィルタすることで攻撃を受ける可能性を低減できます。

UPnP 機能の無効化方法やフィルタ方法については、各製品のマニュアルをご参照ください。


IV. 参考情報

JVNVU#90348117
Portable SDK for UPnP にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU90348117/index.html

US-CERT Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
http://www.kb.cert.org/vuls/id/922681

Cisco
Cisco Security Advisory: Portable SDK for UPnP Devices Contains Buffer Overflow Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130129-upnp

NEC
SDK for UPnPにバッファオーバーフローの脆弱性
http://jpn.nec.com/security-info/secinfo/nv13-003.html

古河電工
Portable SDK for UPnP にバッファオーバーフローの脆弱性
http://www.furukawa.co.jp/fitelnet/topic/vulnera_20130130.html


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter