公開日:2023/02/17 最終更新日:2023/02/17

JVNVU#90947628
Sub-IoT Open Source Stack for Dash7 Alliance Protocol実装における境界外書き込みの脆弱性

概要

Sub-IoTプロジェクトが提供するOpen Source Stack for Dash7 Alliance Protocol実装には、境界外書き込みの脆弱性が存在します。

影響を受けるシステム

  • Sub-IoT: Open Source Stack for Dash7 Alliance Protocol実装 2022年10月12日のcommit「9f518bf」より前

詳細情報

Sub-IoTプロジェクトが提供するOpen Source Stack for Dash7 Alliance Protocol実装には、次の脆弱性が存在します。

  • 境界外書き込み (CWE-787) - CVE-2023-0847

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 本プロトコル実装がデフォルト設定以外でコンパイルされている場合、遠隔の第三者によってサービス運用妨害(DoS)攻撃やコード実行をされる

対策方法

アップデートする
開発者は、2022年10月12日のcommit「9f518bf」にて、本脆弱性を修正しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Sub-IoT commit 9f518bf: EM-128: Merge EM-128-fix-potential-security-issues
Sub-IoT-Stack

参考情報

  1. ICS Advisory (ICSA-23-047-13)
    Sub-IoT DASH 7 Alliance Protocol stack implementation

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia