futuremix

スラッシュドット ジャパンのストーリーによると、ELECOMのブロードバンドルータに、GPL 違反とセキュリティ問題が発覚したそうです。対象となるルータは LD-WBBR/B とのことですが、現在までに、LD-BBR/B、LD-WBBRA/P、LD-WBBRB/P、LD-WBBRB/AP にも同様の問題があることが判明しています。

GPL 違反は、Linux のカーネルを利用しているにもかかわらず、ソース公開を求めたところ、「弊社独自のソースコードが含まれているため、公開できない」という回答だったとか。

セキュリティ問題の方は深刻で、

1. telnet にて外部から login することができる
2. 隠し cgi にて root 権限で任意のコマンドが実行可能
3. 外部からファームウェアのアップデートができる
4. elecom に指摘をしたところ、 fix はしないと言われた

のだそうですが、telnet については特定のユーザ、パスワードで WAN 側からログインできてしまうと問題があります。これはバックドアではないのでしょうか。かなりまずいですね。この問題がすぐに修正されない場合、いますぐルータを買い換えた方が良さそうです。

4月14日追記

さらに、外部から telnet で、パスワードなしでログインできる特定のアカウントが発見されたようです。もうダメですね。

4月27日追記

ELECOM から、弊社ブロードバンドルータに関する重要なお知らせが出ています。脆弱性の修正されたファームウェアが公開されており、Telnet 機能の停止や、メンテナンス用アカウント、CGI が削除されているようです。また、GPL にもとづいてソースコード公開もするようです。

なお、上記機種はGPL（※）適合機種に該当するため、ソース公開ご希望のお客様は下記窓口までご連絡くださいますよう重ねてお願い申し上げます。