ニュース
バッファローのWi-Fiルーター「WXR-1900DHP2」にRCE脆弱性など3件
2018年2月26日 13:02
株式会社バッファローが2015年12月に発売したWi-Fiルーター「WXR-1900DHP2」に、認証回避、バッファオーバーフロー、OSコマンドインジェクションの3件の脆弱性があるとして、独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が脆弱性情報ポータル「JVN」で注意を喚起。最新版ファームウェアへの更新を推奨している。
認証欠如の問題による脆弱性「CVE-2018-0521」と、OSコマンドインジェクションの脆弱性「CVE-2018-0523」は、いずれも悪意を持った第三者によりリモートから任意のコマンドが実行される可能性があるもの。また、バッファオーバーフローの脆弱性「CVE-2018-0522」は、悪意を持った第三者によりリモートから任意のコードが実行される(RCE:Remote Code Execution)可能性があるものとなる。
共通脆弱性評価システム「CVSS v3」のスコアは、CVE-2018-0521が8.8ポイント、CVE-2018-0522が5.0ポイント、CVE-2018-0523が6.3ポイント。
脆弱性の影響を受けるのは、ファームウエアバージョン「2.4.8」以前。バッファローでは、脆弱性を修正したファームウェアをWindows 10/8.1/8/7/Vista、Mac OS X 10.5~10.11向けに提供している。
WXR-1900DHP2は、IEEE 802.11ac/n/a/g/bと3×3のMU-MIMOに対応したWi-Fiルーター。電子レンジなどのWi-Fi以外の機器から発生する干渉ノイズを自動で検知して回避する「干渉波自動回避機能」や、5GHz帯/2.4GHz帯の空いている帯域へ自動で接続を切り替える「バンドステアリング」機能を備える。
また、インターネットマルチフィードの提供する「transix」や、インターネットイニシアティブが提供するtransixを利用した個人向け接続サービス「IIJmio FiberAccess/NFサービス」、日本ネットワークイネイブラーの提供するISP事業者向けのIPv4・IPv6デュアルスタックサービス「v6プラス」などのIPoEサービスに対応している。