無線LAN / ネットワーク
メモリ
HDD・NAS・ストレージ
マウス・キーボード・
ケーブル
映像・音響機器
カメラアクセサリ関連
ヘルスケア関連
衛生関連製品
テレビ関連
スマートフォン関連
タブレット関連
スマートウォッチ関連
ゲーム関連
VR関連
プリンター本体
用紙・ラベル
インク
セキュリティ用品
アクセサリ
生活雑貨
タップ・電源
充電器・バッテリー
車載関連
その他 製品サービス
保守サービス
カスタムPC
ファニチャ・ラック
ヘルスケア関連
セキュリティ情報
- セキュリティ情報
EL36-221
無線LANルーターなどネットワーク製品の一部における脆弱性に関して
日頃は、当社製品をご愛顧いただきまして、誠にありがとうございます。当社製の一部の無線LANルーターなどネットワーク製品の一部におきまして、以下脆弱性が判明いたしました。
対象製品のアップデートサービスは終了しております。お客様が気づかない状態でも悪用される場合がありますのでセキュリティ保護のため対象製品のご利用を中止いただき、現行製品への切り替えをご検討いただけますようお願い申し上げます。
お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。何卒ご理解とご協力を賜りますようお願い申し上げます。
脆弱性がもたらす脅威
ロジテック製品
| 製品 | 製品発売日 | 概要情報 | 脆弱性がもたらす脅威 | 対処方法 | 関連情報 |
|---|---|---|---|---|---|
| LAN-WH450N/GR | 2011年4月 | Logitec LAN-WH450N/GR における PIN認証不備 | 対象製品の無線 LAN 到達範囲にいる第三者によって PIN が解読され、対象製品が提供するネットワークにアクセスされる可能性があります。 | 製品の使用中止 | JVN#96783542 |
| LAN-W300N/PR5B | 2011年4月 | Logitec LAN-W300N/PR5B におけるクロスサイトリクエストフォージェリの脆弱性 | 対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、意図せず当該製品の設定変更などをさせられる可能性があります。 | ||
| Logitec LAN-W300N/PR5B におけるサービス運用妨害(DoS)の脆弱性 特定のリクエストでWebUIにアクセスできなくなる |
対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、サービス運⽤妨害 (DoS) 攻撃を受ける可能性があります。 | ||||
| LAN-W300N/PGRB | 2011年10月 | Logitec LAN-W300N/PGRB における OS コマンドインジェクションの脆弱性 | 対象製品の Web 管理ページにアクセス可能な攻撃者によって、任意の OS コマンドを実⾏される可能性があります。 | ||
| Logitec LAN-W300N/PGRB におけるバッファオーバーフローの脆弱性 | |||||
| Logitec LAN-W300N/PGRB における OS コマンドインジェクションの脆弱性 | |||||
| LAN-W300N/RS | 2011年7月 | Logitec LAN-W300N/RS におけるクロスサイトリクエストフォージェリの脆弱性 | 対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、意図せず当該製品の設定変更などをさせられる可能性があります。 | ||
| Logitec LAN-W300N/RS におけるサービス運用妨害 (DoS) の脆弱性 | 対象製品の Web 管理ページにログインしているユーザが、細⼯された URL にアクセスすることで、サービス運⽤妨害 (DoS) 攻撃を受ける可能性があります。 |
エレコム製品
| 製品 | 製品発売日 | 概要情報 | 脆弱性がもたらす脅威 | 対処方法 | 関連情報 |
|---|---|---|---|---|---|
| LD-PS/U1 | 2003年12月 | ELECOM LD-PS/U1におけるアクセス制限の回避 | 遠隔の第三者により細⼯されたリクエストを処理することで、対象製品の管理パスワードが変更される可能性があります。 | 製品の使用中止 | JVN#47580234 |
| WRC-1467GHBK-A | 2015年8月 | ELECOM WRC-1467GHBK-A におけるスクリプトインジェクションの脆弱性 | 細⼯された SSIDを管理画⾯上で表⽰することで、ユーザのウェブブラウザ上で、任意のスクリプトが実⾏される可能性があります。 | 製品の使用中止 | |
| WRC-300FEBK WRC-F300NF |
2014年3月 | ELECOM WRC-300FEBK における OS コマンドインジェクションの脆弱性 | 対象製品でUPnP が有効な場合、対象製品にアクセス可能な第三者により任意の OS コマンドが実⾏される可能性があります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|
| WRC-300FEBK-A | 2015年2月 | ELECOM WRC-300FEBK-Aにおけるクロスサイトスクリプティングの脆弱性 | 対象製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトが実⾏される可能性があります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|
| ELECOM WRC-300FEBK-Aにおけるクロスサイトリクエストフォージェリの脆弱性 | 対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnetデーモンが起動されたりする可能性があります。 | ||||
| WRC-300FEBK-S | 2016年11月 | ELECOM WRC-300FEBK-S における OS コマンドインジェクションの脆弱性 | 対象製品でUPnP が有効な場合、対象製品にアクセス可能な第三者により任意の OS コマンドが実⾏される可能性があります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|
| ELECOM WRC-300FEBK-S におけるクロスサイトリクエストフォージェリの脆弱性 | 対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnet デーモンが起動されたりする可能性があります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|||
| ELECOM WRC-300FEBK-S における OS コマンドインジェクションの脆弱性 | 対象製品にアクセス可能な第三者により、任意の OS コマンドが実⾏される可能性があります。 | ||||
| ELECOM WRC-300FEBK-S における SSL サーバー証明書の検証不備の脆弱性 | 中間者攻撃(man-in-the-middle attack) により通信のレスポンスを改ざんされ、結果として対象製品において任意の OS コマンドが実⾏される可能性あります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|||
| NCC-EWF100RMWH2 | 2017年1月 | ELECOM NCC-EWF100RMWH2 におけるクロスサイトリクエストフォージェリの脆弱性 | 対象製品の管理画⾯にログインした状態のユーザが細⼯されたページにアクセスした場合、任意のリクエストが実⾏され、結果として対象製品の設定が意図せず変更されたり、telnet デーモンが起動されたりする可能性があります。 |
製品の使用中止または下記の軽減・回避策を行いご利用お願いします。
■軽減・回避策
|
|
| Androidアプリ 「ELECOM File Manager」 |
2011年9月 ※公開日 |
Androidアプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性 | 遠隔の第三者によって、アプリの権限でアクセス可能なディレクトリにおいて、ファイルを作成されたり既存のファイルを上書きされたりする可能性があります。 |
対象アプリの使用を中止いただき下記の後継アプリのご利用をお願いします。
|
JVN#98115035 |
対策方法
本製品の利用を中止する。
現在、弊社にクレームや被害のご報告はございません。
製品の不具合ではございませんが、発売後年数が経過している製品であり、今後も攻撃を受けるリスクがあるため利用中止をお願いしております。
参考情報
「ご家庭でWi-Fiルーターをより安全にお使いいただくために」
https://www.elecom.co.jp/news/info/20191218-01/
- このリリースに掲載されている会社名・製品名等は、一般に各社の商標又は登録商標です。
- このリリースに記載の内容は、発表当時の情報です。 予告なく変更されることがありますので、あらかじめご了承ください。
- プレス用にエレコム製品の画像をご希望の方は、画像データベースシステム をご利用ください。
