公開日:2021/01/22 最終更新日:2021/01/22
JVNVU#90896392
Matrikon 製 OPC UA Tunneller における複数の脆弱性
Matrikon 社 (Honeywell 社子会社) が提供する OPC UA Tunneller には、複数の脆弱性が存在します。
- OPC UA Tunneller バージョン 6.3.0.8233 より前のすべてのバージョン
Matrikon 社 (Honeywell 社子会社) が提供する OPC UA Tunneller は、OPC Classic と OPC Unified Architecture (OPC UA) の変換ツールです。
OPC UA Tunneller には、次の複数の脆弱性が存在します。
- ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2020-27297
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8 - 境界外読み取り (CWE-125) - CVE-2020-27299
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N 基本値: 8.2 - malloc 関数の戻り値に対する不適切なチェック (CWE-754) - CVE-2020-27274
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5 - リソースの枯渇 (CWE-400) - CVE-2020-27295
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。
- 管理値を上書きされることでメモリを操作されたり、遠隔からコードを実行されたりする - CVE-2020-27297
- 機微な情報を窃取され、情報漏えいされたり、デバイスのクラッシュを引き起こされたりする - CVE-2020-27299
- サービス運用妨害 (DoS) 攻撃を引き起こされる - CVE-2020-27274、CVE-2020-27295
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性の対策として次のバージョンをリリースしています。
- OPC UA Tunneller バージョン 6.3.0.8233
| ベンダ | リンク |
| Matrikon | Matrikon OPC UA Tunneller |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-27274 |
|
CVE-2020-27295 |
|
|
CVE-2020-27297 |
|
|
CVE-2020-27299 |
|
| JVN iPedia |
