公開日:2013/01/30 最終更新日:2015/03/17

JVNVU#90348117
Portable SDK for UPnP にバッファオーバーフローの脆弱性

概要

Portable SDK for UPnP の unique_service_name() 関数には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • UPnP SDK 1.2 (Intel SDK)
  • UPnP SDK 1.6.17 およびそれ以前 (Portable SDK)

詳細情報

Portable SDK for UPnP の unique_service_name() 関数には、SSDP リクエストの処理に起因するバッファオーバーフローの脆弱性が存在します。

想定される影響

細工された SSDP リクエストを処理することにより、任意のコードが実行されるなどの可能性があります。

対策方法

開発者向けの対策
使用している SDK のバージョンを確認して開発環境をアップデートし、影響を受ける各製品のアップデートを行ってください。

なお、本脆弱性に対応した libupnp 1.6.18 がリリースされました。

製品利用者向けの対策
各開発者が提供する情報をもとにアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2013/07/23 アライドテレシス株式会社 の告知ページ
サイボウズ株式会社 該当製品無し 2015/03/17
ソニー株式会社 該当製品あり 2013/01/30
ソフトバンクBB 該当製品無し 2013/01/30
ヤマハ株式会社 該当製品無し 2013/01/31
古河電気工業株式会社 該当製品あり 2013/01/30
日本電気株式会社 該当製品あり(調査中) 2013/02/01
東芝テック株式会社 該当製品無し 2013/01/30
株式会社アイ・オー・データ機器 該当製品無し 2014/12/24
株式会社インターネットイニシアティブ 該当製品無し 2013/01/30

参考情報

  1. US-CERT Vulnerability Note VU#922681
    Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-5963
CVE-2012-5964
CVE-2012-5965
CVE-2012-5958
CVE-2012-5959
CVE-2012-5960
CVE-2012-5961
CVE-2012-5962
JVN iPedia

更新履歴

2013/01/31
株式会社アイ・オー・データ機器のベンダステータスが更新されました
2013/01/31
ヤマハ株式会社のベンダステータスが更新されました
2013/01/31
影響を受けるシステムを修正しました
2013/01/31
想定される影響の誤植を修正しました
2013/01/31
日本電気株式会社のベンダステータスが更新されました
2013/02/01
日本電気株式会社のベンダステータスが更新されました
2013/07/23
アライドテレシス株式会社のベンダステータスが更新されました
2013/07/23
アライドテレシス株式会社のベンダステータスが更新されました
2014/12/25
株式会社アイ・オー・データ機器のベンダステータスが更新されました
2015/03/17
サイボウズ株式会社のベンダステータスが更新されました