IPA(情報処理推進機構)セキュリティセンターおよびJPCERT/CC(JPCERTコーディネーションセンター)は3月2日、アイ・オー・データ製の複数のネットワークカメラ製品に複数の脆弱性があることを発表した。

脆弱性の影響を受ける製品は以下の5つ。

  • TS-WPTCAM (ファームウェア バージョン 1.18 およびそれ以前)
  • TS-WPTCAM2(ファームウェア バージョン 1.00)
  • TS-WLCE(ファームウェア バージョン 1.18 およびそれ以前)
  • TS-WLC2(ファームウェア バージョン 1.18 およびそれ以前)
  • TS-WRLC(ファームウェア バージョン 1.17 およびそれ以前)

TS-WPTCAM

TS-WLCE

上記の製品には、脆弱性「HTTP ヘッダ・インジェクション(CVE-2017-2111)」「OS コマンド・インジェクション(CVE-2017-2112)」「バッファオーバーフロー(CVE-2017-2113)」が存在する。

「CVE-2017-2111」については、HTTPレスポンス分割攻撃によって、対象製品にログインしているユーザーのWebブラウザ上で偽の情報が表示されるおそれがあり、「CVE-2017-2112」「CVE-2017-2113」については、遠隔の第三者によって、対象製品上で任意の OS コマンドを実行されるおそれがある。

各製品について、脆弱性の対応が行われた最新版のファームウェアがリリースされているので、対象製品を利用の際はファームウェアを最新版にアップグレードすることが推奨される。

  • TS-WPTCAM→ファームウェアVer.1.19で対策済み
  • TS-WPTCAM2→ファームウェアVer.1.01で対策済み
  • TS-WLCE→ファームウェアVer.1.19で対策済み
  • TS-WLC2→ファームウェアVer.1.19で対策済み
  • TS-WRLC→ファームウェアVer.1.19で対策済み