ASUSルータのRT-AC56SにFirmwareの更新通知が出ていたのでUpdateしました。
前回Update時とは異なり更新内容がブラウザ上の管理画面に表示されるようになっていました。
更新後Version
RT-AC56SではVersion 3.0.0.4.380.7378 ⇒ 3.0.0.4.380.7743に更新されています。ASUSグローバルのサポートサイトで調べてみると2017/06/16にリリースされたようです。
RT-AC56S | Networking | ASUS Global
更新内容
管理画面にから更新内容が確認できます。それによると、3件の脆弱性対策と1件のセキュリティ向上策と1件のバグ修正が行われたようです。
Firmware version 3.0.0.4.380_7743-g2cf84e9
- Release Note -
Security fixed
- Fixed CVE-2017-8828 (XSS vulnerability)
- Fixed CVE-2017-5892 (JSONP Information Disclosure)
- Fixed CVE-2017-7494 (Samba remote code execution vulnerability)
- Improved brute-force protection for SSH, Telnet connection.
Bug fixed
- Fixed URL filter, keyword filter, network filter time related issue.
修正された脆弱性
各CVEの内容を確認すると以下の通り。
2017-8828は現時点では内容が公開されていないため詳細は不明です。リリースノートの"XSS vulnerability"の記載から、何某かのクロスサイトスクリプティングの脆弱性が修正されたのでしょう。
CVE - CVE-2017-8828
2017-5892は前回(Version 3.0.0.4.380.7378)のFirmware更新時にも修正対象として掲載されていました。今回も再掲されているということは、前回の修正が不十分だったのでしょうか?なお、前回更新時はmitreでは詳細が公開されていませんでしたが、現在はJSONPでネットワークマップのような情報を公開してしまう問題だと記載されています。
CVE - CVE-2017-5892
2017-7494はSambaの脆弱性です。RT-AC56Sはルータですが、USBポートにストレージを接続して設定するとNASとして使用可能なため、Sambaの脆弱性にも対応する必要があるのでしょう。内容的にはリモートからコードが実行される可能性が有る系の悪用されると凶悪なやつですが、書き込み権限を有していなければ成立しないようですので、自分用NASとして運用している場合や外部から端末を持ち込めないセキュリティ厳しめのネットワーク内に設置している場合には実害は無さそうです。
CVE - CVE-2017-7494
以上。
