アカウント名:
パスワード:
話をごく単純にいうと、確かにlibupnpに穴はあるが、そもそも外からUPnPの使うポートが見えちゃダメじゃんというお話みたいです。
ただしもっとややこしい話のようなので是非リンク先を読んでみてください。
http://did2memo.net/2013/01/30/upnp-libupnp-vulnerability/ [did2memo.net]
現時点でもかなり影響力のありそうなメーカー名が並んでますね。増えることはあっても減ることはなさそう。http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Refere... [cert.org]
モバイルルータにも実装されてるとしたら、膨大な数になりそうです。機能の都合上、工場出荷時点で有効になっているものがほとんどでしょうし。ファームウェアの修正に時間がかかるでしょうから、とりあえずの対処として機能をオフにするだけのツールでも出してくるんじゃないかと。
ちなみに、ヤマハのルータ製品の中にもUPnPできるのありますが、ウチはlibupnp使ってないので今回は関係なし、という通知がMLに流れてました。
上 [srad.jp]のリンク先を読んだら、libupnp以外でも脆弱性は見つかってとありますね…とりあえずWAN側からのSSDPをマスクするのは必須だとして、SSDPパース部分の脆弱性については、「libupnpは使っていません」だけではまだ安心できなさそうですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
確かにlibupnpに穴はあるが (スコア:4, 参考になる)
話をごく単純にいうと、確かにlibupnpに穴はあるが、そもそも外からUPnPの使うポートが見えちゃダメじゃんというお話みたいです。
ただしもっとややこしい話のようなので是非リンク先を読んでみてください。
http://did2memo.net/2013/01/30/upnp-libupnp-vulnerability/ [did2memo.net]
Re: (スコア:2)
現時点でもかなり影響力のありそうなメーカー名が並んでますね。
増えることはあっても減ることはなさそう。
http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Refere... [cert.org]
モバイルルータにも実装されてるとしたら、膨大な数になりそうです。
機能の都合上、工場出荷時点で有効になっているものがほとんどでしょうし。
ファームウェアの修正に時間がかかるでしょうから、とりあえずの対処として機能をオフにするだけのツールでも出してくるんじゃないかと。
Re:確かにlibupnpに穴はあるが (スコア:1)
ちなみに、ヤマハのルータ製品の中にもUPnPできるのありますが、ウチはlibupnp使ってないので今回は関係なし、という通知がMLに流れてました。
Re:確かにlibupnpに穴はあるが (スコア:1)
上 [srad.jp]のリンク先を読んだら、libupnp以外でも脆弱性は見つかってとありますね…
とりあえずWAN側からのSSDPをマスクするのは必須だとして、SSDPパース部分の脆弱性については、
「libupnpは使っていません」だけではまだ安心できなさそうですね。