公開日:2013/01/30 最終更新日:2021/02/17
JVNVU#90348117
Portable SDK for UPnP にバッファオーバーフローの脆弱性
Portable SDK for UPnP の unique_service_name() 関数には、バッファオーバーフローの脆弱性が存在します。
- UPnP SDK 1.2 (Intel SDK)
- UPnP SDK 1.6.17 およびそれ以前 (Portable SDK)
Portable SDK for UPnP の unique_service_name() 関数には、SSDP リクエストの処理に起因するバッファオーバーフローの脆弱性が存在します。
細工された SSDP リクエストを処理することにより、任意のコードが実行されるなどの可能性があります。
開発者向けの対策
使用している SDK のバージョンを確認して開発環境をアップデートし、影響を受ける各製品のアップデートを行ってください。
なお、本脆弱性に対応した libupnp 1.6.18 がリリースされました。
製品利用者向けの対策
各開発者が提供する情報をもとにアップデートしてください。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| アライドテレシス株式会社 | 該当製品あり | 2013/07/23 | アライドテレシス株式会社 の告知ページ |
| サイボウズ株式会社 | 該当製品無し | 2015/03/17 | |
| ソニー株式会社 | 該当製品あり | 2013/01/30 | |
| ソフトバンクBB | 該当製品無し | 2013/01/30 | |
| ヤマハ株式会社 | 該当製品無し | 2013/01/31 | |
| 古河電気工業株式会社 | 該当製品あり | 2013/01/30 | |
| 日本電気株式会社 | 該当製品あり(調査中) | 2013/02/01 | |
| 東芝テック株式会社 | 該当製品無し | 2013/01/30 | |
| 株式会社アイ・オー・データ機器 | 該当製品無し | 2014/12/24 | |
| 株式会社インターネットイニシアティブ | 該当製品無し | 2013/01/30 | |
| 株式会社リコー | 該当製品無し | 2021/02/17 |
-
US-CERT Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2012-5963 |
|
CVE-2012-5964 |
|
|
CVE-2012-5965 |
|
|
CVE-2012-5958 |
|
|
CVE-2012-5959 |
|
|
CVE-2012-5960 |
|
|
CVE-2012-5961 |
|
|
CVE-2012-5962 |
|
| JVN iPedia |
|
- 2013/01/31
- 株式会社アイ・オー・データ機器のベンダステータスが更新されました
- 2013/01/31
- ヤマハ株式会社のベンダステータスが更新されました
- 2013/01/31
- 影響を受けるシステムを修正しました
- 2013/01/31
- 想定される影響の誤植を修正しました
- 2013/01/31
- 日本電気株式会社のベンダステータスが更新されました
- 2013/02/01
- 日本電気株式会社のベンダステータスが更新されました
- 2013/07/23
- アライドテレシス株式会社のベンダステータスが更新されました
- 2013/07/23
- アライドテレシス株式会社のベンダステータスが更新されました
- 2014/12/25
- 株式会社アイ・オー・データ機器のベンダステータスが更新されました
- 2015/03/17
- サイボウズ株式会社のベンダステータスが更新されました
- 2021/02/17
- 株式会社リコーのベンダステータスが更新されました
