「Pocket WiFi(GP02)」にCSRFの脆弱性、ファームウェアのアップデートを


Pocket WiFi(GP02)

 独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は1日、イー・アクセス株式会社が提供するモバイル無線LANルーター「Pocket WiFi(GP02)」(Huawei社製)に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があることを公表した。イー・アクセスが用意した最新ファームウェアにアップデートするよう呼び掛けている。

 IPA/ISECとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」によると、この脆弱性は、ユーザーがGP02にログインした状態で悪意あるページを読み込んだ場合、設定の初期化や再起動をさせられる可能性があるというもの。ファームウェアのバージョン「11.203.11.05.168」以前が影響を受ける。

 イー・アクセスが1日に公開したファームウェアは、バージョン「11.203.24.03.168」。脆弱性修正のほか、マルチSSIDへの対応も行われた。WiFi接続に2つのSSIDを使用できる機能で、SSIDごとに暗号化方式などを別々に設定できる。例えばニンテンドーDSはWEP方式で接続し、PCはWPA方式で接続するといった使い分けが可能になる。

 この脆弱性は、2011年10月31日にIPAが届け出を受け、JPCERT/CCが製品開発者と調整を行なった後、今回公表された。


関連情報


(永沢 茂)

2012/2/1 14:18