詳細な説明
アレグロRomPagerは広くマルチベンダーブロードバンドルータで使用されるWebサーバーツールキットを、埋め込まれました。
成功したHTTPクッキー処理コードの4.07と4.34バージョンの前にアレグロRomPager、使いやすいこの脆弱性の実現に抜け穴「クッキー運命」を広範囲に影響し、深刻な害を引き起こす存在する、この脆弱性を悪用が認証されていない、リモートの攻撃者が取得する可能性があります管理者権限を、リモートからの任意のコードの実行、影響を受けるデバイスの完全な制御は、機密情報を盗む、悪意のあるソフトウェアをインストール影響を受けるデバイス、任意のファイアウォールをバイパスします。この脆弱性は依然として(ASUS、D-Linkの、EDIMAX、Huawei社存在し、メーカーノートによると、脆弱性が2002 v4.07コードベースで発見された2005 v4.34で修復されているが、現在のゲートウェイデバイスのファームウェアリリースの多く、TP-リンク、ZTE、ZyXELの、など)。
脆弱性は要求の幸運を決定するために、クッキーを操作するために利用することができるHTTPクッキー管理機構、によって影響を受けるソフトウェアの誤差に起因します。攻撃デバイスは、現在のセッションの管理者権限を与えられたように、攻撃者は、破損メモリにこの脆弱性を悪用し、アプリケーションやシステムの状態の変化を特別に細工されたHTTPクッキーを送信することができます。
<*出典:シャハルタル
リンク:のhttp://www.kb.cert.org/vuls/id/561444
http://mis.fortunecook.ie/
*>
ソリューション
回避策:
*アップデートを適用します。
*サードパーティ製のファームウェアを使用してください。
* WAN側のリスナー・サービスのHTTPまたはHTTPS接続を無効にします。
メーカーパッチ:
アレグロ
-------
現在、いくつかのメーカーは、ファームウェアのアップデートを提供してきました。自分のモデルに応じて適切なファームウェアのダウンロードを行います
Huawei社
http://consumer.huawei.com/cn/support/downloads/
ZTE
http://www.zte.com.cn/cn/services/products/support/
TP-LINK
http://service.tp-link.com.cn/