OSC2007 Tokyo/Fall
しまった。オープンソースカンファレンス2007秋にGentooとして申し込むのを忘れてた。あああああああああ。もう手遅れかも?
しまったなぁ。まぁ展示するもんもないんですけどね。2007.1はまだまだ先だし。
今回はGentooはなしでしょうか?それともダメ元で今から申し込んでみる?
BUFFALOのブロードバンドルータWHR-G54SのCSRF脆弱性
Secuniaに掲載されていたBUFFALOのブロードバンドルータWHR-G54SのCSRF脆弱性について私の手元のWHR-G54Sで確認したところ、2007/9/12現在の最新ファームウェアである1.40でもCSRF脆弱性が再現できました。
リンク先のアドバイザリーにexploit codeが提示されていますが、これを試すとログインパスワードが書き換わってしまいますので御注意ください。
- 結論1
- このセキュリティホールはまだ修正されていません。
- 結論2
- ブロードバンドルータのWeb管理画面操作中に怪しいサイトへの訪問はお控えください。
- 結論3
- ブロードバンドルータのWeb管理画面操作終了時には一端ブラウザを閉じましょう。
- 結論4
- BASIC認証のユーザー名、パスワードをブラウザに記憶させないのがよりベターです。
- 推測
- BUFFALO製の全ブロードバンドルータに影響があるかもしれません。
- 参考
- CSRFに脆弱なルータはWHR-G54Sだけではないはず - yohgaki's blog