English Edition

LAC Advisory No.100
FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性

Problem first discovered on:Tue, 21 Apr 2009
Published on: Wed, 5 Aug 2009

脅威度:
高

 

概要:
「FreeNAS」には、攻撃者によって利用者が意図しない操作を実行されてしまう、クロスサイトリクエストフォージェリ の脆弱性があります。この脆弱性が悪用されると、「FreeNAS」がインストールされたコンピュータ上で、悪意あるユーザによって不正な操作が実行されてしまう可能性があります。

 

詳細:
オープンソースで開発されている「FreeNAS」は、ファイルサーバ機能に特化し、ウェブインターフェースによる管理機能を備えた OS です。

「FreeNAS」の利用者が、「FreeNAS」にログインした状態で、不正な操作リクエストが含まれるウェブページに誘導された場合、利用者が意図しない操作を実行される可能性があります。

不正な操作リクエストによって発生する操作は、サーバの停止やハードディスク初期化など、WebUI として利用可能な機能のほとんどが対象となる可能性があります。

また、攻撃者によって不正に設定等を変更されることにより、さらなる攻撃に悪用される可能性があります。

 

影響を受ける バージョン:
FreeNAS 0.69.2 およびそれ以前

 

対策:
開発者が提供する対策済みバージョンへアップデートしてください。

http://www.freenas.org/index.php?option=com_frontpage&Itemid=22

 

発見者:
新柴 博之 （LAC）

 

謝辞:
本問題は、情報処理推進機構（IPA） および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN15267895/
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000053.html
http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html

 

免責:
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

 

再配布について:
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/100.html