「FreeNAS」におけるセキュリティ上の弱点（脆弱性）の注意喚起

　オープンソースで開発されている「FreeNAS」は、コンピュータにインストールすることで、ファイル共有機能を提供するオペレーティングシステム（OS）です。

　「FreeNAS」には、第三者によって、利用者が意図しない操作を実行されてしまう、クロスサイト・リクエスト・フォージェリ^(*1)というセキュリティ上の弱点（脆弱性）があります。

　この弱点が悪用されると、「FreeNAS」がインストールされたコンピュータ上で、悪意あるユーザによって不正な操作が実行されてしまう可能性があります。

　詳細は、次のURLを参照して下さい。
http://www.freenas.org/index.php?option=com_frontpage&Itemid=22

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2009-000053

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2009年4月21日に以下の報告者からIPAが届出を受け、JPCERT/CC（一般社団法人 JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2009年8月5日に公表したものです。
　報告者： 株式会社ラック　新柴博之　氏

　「FreeNAS」の利用者が、「FreeNAS」にログインした状態で、不正な操作リクエストが含まれるウェブページに誘導された場合、「FreeNAS」が設置されたサーバの停止や、サーバのハードディスクが初期化される等の不正な操作を実行される可能性があります。

　結果として、「FreeNAS」が設置されたサーバが悪意あるユーザによって制御される可能性があります。

　対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

(1)評価結果

(2)CVSS基本値の評価内容

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「クロスサイト・リクエスト・フォージェリ（CSRF）（CWE-352）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

脚注

プレスリリースのダウンロード

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴