組込機器向けLinux「DD-WRT」に深刻な脆弱性

ネットワーク機器のファームウェアとして動作する組込機器向けLinuxディストリビューション「DD-WRT」に深刻な脆弱性が明らかとなった。

細工したHTTPリクエストによりウェブサーバにおいてメモリ破壊を引き起こすことが可能となる脆弱性「CVE-2022-27631」が明らかとなったもの。「リビジョン32270」から「リビジョン48599」までが影響を受ける。

脆弱性が与える影響の評価については、脆弱性を発見、報告してCVE番号を採番したCisco SystemsのTalosチームと、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」で評価が異なっている。

Talosチームでは、完全性にのみやや影響があるとして共通脆弱性評価システム「CVSSv3」のベーススコアを「5.3」としているが、「NVD」では機密性や完全性、可用性に大きな影響を与えるとして「9.8」と評価している。

重要度についてもTalosチームが4段階において上から3番目にあたる「中（Medium）」とする一方、NVDではもっとも高い「クリティカル（Critical）」と評価している。

（Security NEXT - 2022/08/23 ）ツイート