ASUSルータのRT-AC56SにFirmwareの更新通知が出ていたのでUpdateしました。
今回のリリースでは今年(2017年)10月中旬に公表されて大騒ぎになったWPA2の脆弱性(KRACK)などの対策が為されているようです。
更新後Version
RT-AC56Sではversion 3.0.0.4.380_7743-g2cf84e9 ⇒ 3.0.0.4.382_18991に更新されています。ASUSグローバルのサポートサイトで調べてみると2017/12/22にリリースされたようです。
RT-AC56S Driver & Tools| Networking | ASUS Global
更新内容
ルーターのWeb管理画面から更新内容が確認できます。それによると、12件の脆弱性対策が行われたようです。
Firmware version 3.0.0.4.382_18991
- Release Note -
Security fixed
- Fixed KRACK vulnerability
- Fixed CVE-2017-14491: DNS - 2 byte heap based overflow
- Fixed CVE-2017-14492: DHCP - heap based overflow
- Fixed CVE-2017-14493: DHCP - stack based overflow
- Fixed CVE-2017-14494: DHCP - info leak
- Fixed CVE-2017-14495: DNS - OOM DoS
- Fixed CVE-2017-14496: DNS - DoS Integer underflow
- Fixed CVE-2017-13704 : Bug collision
- Fixed predictable session tokens, logged user IP validation, Logged-in information disclosure (special thanks for Blazej Adamczyk contribution)
- Fixed web GUI authorization vulnerabilities.
- Fixed AiCloud XSS vulnerabilities
- Fixed web history XSS vulnerabilities (special thanks for Jamie Riden of NCC Group)
リリースノートでは触れられていませんが、Web管理画面のアイコンが微妙に変わっているような気がします。
他にも一部の設定変更後に発生していた画面のリロードがなくなり、画面内の要素が個別に動的に更新されるようなUIに変化していたりするようです。
修正された脆弱性
上記のRelease Noteの通り、KRACK対策が行われた以外にもCVE番号がアサインされている7件の脆弱性と、それ以外に4点の脆弱性への対応が為されています。
CVE番号がアサインされている7件の脆弱性の内容を確認すると、全てdnsmasqの脆弱性についてであり、ASUS自身がやらかした系の脆弱性ではありません。
CVE - CVE-2017-14491
CVE - CVE-2017-14492
CVE - CVE-2017-14493
CVE - CVE-2017-14494
CVE - CVE-2017-14495
CVE - CVE-2017-14496
CVE - CVE-2017-13704
逆にCVE番号がアサインされていない、Web管理画面のGUIの認証の脆弱性だとか、AiCloudのクロスサイトスクリプティングの脆弱性などはASUS自身がやらかした系の脆弱性を修正したものだと思われます。
補足
私の環境では以下の画面で[ファームウェア更新]ボタンを押下してUpdateを試みたところ、失敗しました。
失敗時には(インターネット接続されているにもかかわらず)以下の表示が現れましたが、画面操作を行うボタンは何もありません。
仕方ないのでアドレスバーからログイン画面に直接遷移した後、管理画面から再度Updateを試みようとしましたが、前掲のファームウェア更新画面は表示されず、上記の更新チェックができない旨の表示が現れるのみでUpdateを再試行できません。なお、管理画面からログアウトしてみたり、ブラウザ再起動後に再試行してみたりしても状況は変化しませんでした。
ルーター自体を再起動後にUpdateを試行したところ、今度は正常にUpdateが開始されました。
ということで、同様にUpdateに失敗する症状が発生したら、ルータの再起動を行った後にファームウェア更新を試行するとうまくいくのではないかと思います。
以上。