libupnp に脆弱性、アップデートまで UPnP をオフに

libupnp^*1に脆弱性が見つかりました。普通の人は「libpnp なんて使ってないよ」という感じだろうと思いますが、このライブラリはルータ等の UPnP をサポートするネットワーク機器で使われているので、知らず知らずのうちにルータを乗っ取られたりする可能性があるようです。ファームウェアのアップデートが来るまではとりあえずUPnP をオフにしておけば大丈夫なようなので、帰ったらルータの設定を変更しておきましょう。

「UPnP」に脆弱性見つかる、ルータなど数千万台に影響 - ITmedia エンタープライズ

Rapid7によれば、libupnpはCisco Systems、富士通、NEC、ソニーなどの大手を含む200社以上の製品に採用され、何千万台ものネットワーク機器に使われている。そのうち約2000万台がインターネットに露出しているという。ネットワーク機器のほかにもストリーミングメディアやファイル共有アプリケーションの多くが、library経由で攻撃にさらされる恐れがあるという。

US-CERT の元ネタは多分これですね。

Vulnerability Note VU#922681 - Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP

The Portable SDK for UPnP Devices libupnp library contains multiple buffer overflow vulnerabilities. Devices that use libupnp may also accept UPnP queries over the WAN interface, therefore exposing the vulnerabilities to the internet.

† 2012/02/04 追記: 参考

• 「UPnP（libupnp）に脆弱性・WANから攻撃可能」という話の中身を調査してみた | 情報科学屋さんを目指す人のメモ

• ^*1: libupnp.org - Developer resources for the portable UPnP™ library