LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性

LAC Advisory No.100

Problem first discovered on: Tue, 21 Apr 2009
Published on: Wed, 5 Aug 2009

脅威度

概要

「FreeNAS」には、攻撃者によって利用者が意図しない操作を実行されてしまう、クロスサイトリクエストフォージェリの脆弱性があります。この脆弱性が悪用されると、「FreeNAS」がインストールされたコンピュータ上で、悪意あるユーザによって不正な操作が実行されてしまう可能性があります。

詳細

オープンソースで開発されている「FreeNAS」は、ファイルサーバ機能に特化し、ウェブインターフェースによる管理機能を備えた OS です。

「FreeNAS」の利用者が、「FreeNAS」にログインした状態で、不正な操作リクエストが含まれるウェブページに誘導された場合、利用者が意図しない操作を実行される可能性があります。

不正な操作リクエストによって発生する操作は、サーバの停止やハードディスク初期化など、WebUI として利用可能な機能のほとんどが対象となる可能性があります。

また、攻撃者によって不正に設定等を変更されることにより、さらなる攻撃に悪用される可能性があります。

影響を受ける バージョン

FreeNAS 0.69.2 およびそれ以前

対策

開発者が提供する対策済みバージョンへアップデートしてください。

http://www.freenas.org/index.php?option=com_frontpage&Itemid=22

発見者

新柴 博之 (ラック)


謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN15267895/

http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000053.html

http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html

この記事は役に立ちましたか?

はい いいえ