wizd にセキュリティホールがあるとの情報を得たので、 玄箱の pcastd でも実験してみた。
root@KURO-BOX:~# /etc/rc.d/init.d/pcastd stop Start services: pcastd pcastd 1.00 start. key='server', value='on' key='media', value='/mnt/share' Set pcast_mp2000 seting media=global_param.public_root key='limit_media', value='' key='limit_pass', value='' EOF Detect. config '/etc/pcast/pcastd.conf' open. key='server_port', value='8000' key='client_language_code', value='sjis' key='skin_root', value='/etc/pcast/theme/pcast' key='flag_unknown_extention_file_hide', value='true' key='flag_image_viewer', value='false' key='flag_daemon', value='true' EOF Detect. Daemoning....
もし、どこにパスワードが書かれているかをご存知でも、 決してその場所は口外なさらないようお願いします。
条件1:
条件2:
条件1 かつ 条件2のいずれか に該当する場合に、
LinkStation/玄箱に生で保存されているパスワードを
ネットワーク越しに取得されることになる。
LinkTheater に付属したサーバを LinkStation で使用している(推測だが該当)
が一番危険か。
メーカ純正だし、組合せて売ってたりもするし、一切のハックなしに使えるはずだし。
もし、条件に該当し、かつ、
クラッカーに狙われる可能性のあるネットワークに接続しているなら
即刻ネットワークケーブルを抜く事をお勧めする
3/15 に Buffalo から
「MediaServer on LinkStation 収録版
HD-HLANシリーズ ファームウェア Ver.1.35」
がリリースされました。
【変更履歴】に、
「・メディアサーバ機能で、メディアフォルダに指定していないフォルダを
参照できる不具合を修正しました。」とあるのが、
このセキュリティホールの修正かと思います。
あくまで「思います」です。
私は、LinkTheater を持っていないので、確認できません。
04/03/16 追記終了
そして、LinkStation/玄箱に入力したすべてのパスワード
(どのパスワードとはあえて書きません)と同じパスワードを
すべて変更すること
例えば、
被害が出ていないかをそれぞれの方法で確認すること
BUFFALO/玄人志向に修正要求を出すこと
BUFFALO/玄人志向から修正パッチが出るまで、LinkStation/玄箱を
ネットワークに接続しないこと。
修正パッチをあてるのも、ローカルなネットワークであてること。
ぐらいでしょうか。
以上、ご理解いただければと思います。
ご意見などありましたら、メールか BBS へいただければと思います。
それにしても、具体的なクラック方法を載せるという心無い方が、
あちらこちらにいらっしゃることを大変残念に思います。
今からでも遅くないので、削除いただければ幸いです。