IPA(情報処理推進機構)セキュリティセンターおよびJPCERT/CC(JPCERTコーディネーションセンター)は3月2日、アイ・オー・データ製の複数のネットワークカメラ製品に複数の脆弱性があることを発表した。
脆弱性の影響を受ける製品は以下の5つ。
- TS-WPTCAM (ファームウェア バージョン 1.18 およびそれ以前)
- TS-WPTCAM2(ファームウェア バージョン 1.00)
- TS-WLCE(ファームウェア バージョン 1.18 およびそれ以前)
- TS-WLC2(ファームウェア バージョン 1.18 およびそれ以前)
- TS-WRLC(ファームウェア バージョン 1.17 およびそれ以前)
上記の製品には、脆弱性「HTTP ヘッダ・インジェクション(CVE-2017-2111)」「OS コマンド・インジェクション(CVE-2017-2112)」「バッファオーバーフロー(CVE-2017-2113)」が存在する。
「CVE-2017-2111」については、HTTPレスポンス分割攻撃によって、対象製品にログインしているユーザーのWebブラウザ上で偽の情報が表示されるおそれがあり、「CVE-2017-2112」「CVE-2017-2113」については、遠隔の第三者によって、対象製品上で任意の OS コマンドを実行されるおそれがある。
各製品について、脆弱性の対応が行われた最新版のファームウェアがリリースされているので、対象製品を利用の際はファームウェアを最新版にアップグレードすることが推奨される。
- TS-WPTCAM→ファームウェアVer.1.19で対策済み
- TS-WPTCAM2→ファームウェアVer.1.01で対策済み
- TS-WLCE→ファームウェアVer.1.19で対策済み
- TS-WLC2→ファームウェアVer.1.19で対策済み
- TS-WRLC→ファームウェアVer.1.19で対策済み