ニュース

アイ・オー・データの「Qwatch」シリーズ5製品に脆弱性、利用者はファームウェアのアップデートを

 株式会社アイ・オー・データ機器のネットワークカメラ「Qwatch(クウォッチ)」シリーズの複数製品において、3件の脆弱性が存在することが、脆弱性情報サイト「JVN(Japan Vulnerability Notes)」で3月2日に公表された。アイ・オー・データ機器では、脆弱性を修正した最新ファームウェアを公開し、該当製品の利用者に対してアップデートを呼び掛けている。対象製品は、「TS-WPTCAM2」「TS-WPTCAM」「TS-WLCE」「TS-WLC2」「TS-WRLC」の5製品。

 HTTPヘッダインジェクションの脆弱性(CVE-2017-2111)は、HTTPレスポンス分割攻撃によって、当該製品にログインしているユーザーのウェブブラウザー上で偽の情報を表示させる攻撃を受ける可能性があるもの。CVSS v3のスコアは4.7。

 OSコマンドインジェクションの脆弱性(CVE-2017-2112)とバッファオーバーフローの脆弱性(CVE-2017-2113)は、いずれもリモートの第三者によって当該製品上で任意のOSコマンドを実行される可能性があるもの。CVSS v3のスコアはともに8.8。

 これらの脆弱性を修正した最新ファームウェアのバージョンは、TS-WPTCAM2用が「1.01」、そのほかの4製品用が「1.19」。

TS-WPTCAM2
TS-WLCE
TS-WLC2
TS-WRLC