古野電気製の航海情報記録装置「VDR」に任意のコマンドを実行される脆弱性（JVN）

IPAおよびJPCERT/CCは、古野電気が提供する航海情報記録装置「VDR」のファームウェアにユーザ入力値を適切に検証しない脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2016.1.6 Wed 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は1月5日、古野電気株式会社が提供する航海情報記録装置「Voyage Data Recorder（VDR）」のファームウェアにユーザ入力値を適切に検証しない脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは9.8。

「VR-3000/VR-3000S ファームウェアバージョン V1.50 から V1.54 まで」「VR-3000/VR-3000S ファームウェアバージョン V1.61 およびそれ以前の V1.6 系」「VR-3000/VR-3000S ファームウェアバージョン V2.06 から V2.54 まで」「VR-3000/VR-3000S ファームウェアバージョン V2.60 から V2.61 まで」「VR-7000 ファームウェアバージョン V1.02 およびそれ以前」のファームウェアアップデート機能 moduleserv には、ユーザの入力値を適切に検証しない脆弱性が存在する。この脆弱性が悪用されると、当該機器にネットワークアクセス可能な攻撃者によって、root権限で任意のコマンドを実行される可能性がある。JVNでは、開発者が提供する情報をもとにファームウェアをアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》