アーカイブ
FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性
2009年8月5日 | 注意喚起
LAC Advisory No.100
Problem first discovered on: Tue, 21 Apr 2009
Published on: Wed, 5 Aug 2009
脅威度
高
概要
「FreeNAS」には、攻撃者によって利用者が意図しない操作を実行されてしまう、クロスサイトリクエストフォージェリの脆弱性があります。この脆弱性が悪用されると、「FreeNAS」がインストールされたコンピュータ上で、悪意あるユーザによって不正な操作が実行されてしまう可能性があります。
詳細
オープンソースで開発されている「FreeNAS」は、ファイルサーバ機能に特化し、ウェブインターフェースによる管理機能を備えた OS です。
「FreeNAS」の利用者が、「FreeNAS」にログインした状態で、不正な操作リクエストが含まれるウェブページに誘導された場合、利用者が意図しない操作を実行される可能性があります。
不正な操作リクエストによって発生する操作は、サーバの停止やハードディスク初期化など、WebUI として利用可能な機能のほとんどが対象となる可能性があります。
また、攻撃者によって不正に設定等を変更されることにより、さらなる攻撃に悪用される可能性があります。
影響を受ける バージョン
FreeNAS 0.69.2 およびそれ以前
対策
開発者が提供する対策済みバージョンへアップデートしてください。
http://www.freenas.org/index.php?option=com_frontpage&Itemid=22
発見者
新柴 博之 (ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN15267895/
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000053.html
http://www.ipa.go.jp/security/vuln/documents/2009/200908_freenas.html