ルータ向けLinux「Zeroshell」 - 開発終了しており使用中止を
ルーターやファイアウォールなどの機能を提供するLinuxディストリビューション「ZeroShell」に脆弱性が指摘されていた問題で、すでにプロジェクトは終了しているとして、利用の中止が呼びかけられている。
同製品については、2020年にコマンドインジェクションの脆弱性「CVE-2020-29390」が明らかとなっていた。ウェブインタフェースにアクセスできる攻撃者によって認証なしに悪用されるおそれがあり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されている。
JPCERTコーディネーションセンターは、2月7日にJVNで同脆弱性に関する調整を行ってきたことを明らかにした。2020年8月にMYTコンサルティングの日留川紀彦氏による届け出を情報処理推進機構(IPA)が受理し、その後も対応が進められていた。
2023年11月に開発者と連絡が取れたが、開発者は「Zeroshellプロジェクト」による活動を2021年4月に終えたとしており、使用停止を推奨しているという。「CVE-2020-29390」については「同3.9.3」で明らかとなったが、その後のバージョンにおける修正状況なども明らかになっていない。
(Security NEXT - 2024/02/08 )
ツイート
PR
関連記事
ルータ向けLinuxディストロにRCE脆弱性 - 修正版は未提供
「ZeroShell」に対する脆弱性攻撃、国内でも観測
「ZeroShell」の既知脆弱性を狙った攻撃に注意