JVNVU#92513419
三菱電機製 MELSEC iQ-R シリーズにおける複数の脆弱性

三菱電機株式会社が提供する MELSEC iQ-R シリーズには、複数の脆弱性が存在します。

• MELSEC iQ-R シリーズ EtherNet/IP ネットワークインタフェースユニット
  • RJ71EIP91: シリアル No. の上 2桁が ”02” およびそれ以下
• MELSEC iQ-R シリーズ PROFINET IO コントローラユニット
  • RJ71PN92: シリアル No. の上 2桁が ”01” およびそれ以下
• MELSEC iQ-R シリーズ高速データロガーユニット
  • RD81DL96: シリアル No. の上 2桁が ”08” およびそれ以下
• MELSEC iQ-R シリーズ MES インタフェースユニット
  • RD81MES96N: シリアル No. の上 2桁が ”04” およびそれ以下
• MELSEC iQ-R シリーズ OPC UA サーバユニット
  • RD81OPC96: シリアル No. の上 2桁が ”04” およびそれ以下

三菱電機株式会社が提供する MELSEC iQ-R シリーズの EtherNet/IP ネットワークインタフェースユニット、PROFINET IO コントローラユニット、高速データロガーユニット、MES インタフェースユニットおよび OPC UA サーバユニットの TCP/IP スタックには、複数の脆弱性が存在します。

• バッファエラー (CWE-119) - CVE-2020-5653

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• セッションの固定化 (CWE-384) - CVE-2020-5654

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

• NULL ポインタデリファレンス (CWE-476) - CVE-2020-5655

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

• 不適切なアクセス制御 (CWE-284) - CVE-2020-5656

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 引数の挿入または変更 (CWE-88) - CVE-2020-5657

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

  基本値: 7.1

• リソース管理の問題 (CWE-399) - CVE-2020-5658

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

  基本値: 5.3

第三者によって細工されたパケットを受信することで、製品のネットワーク機能が停止したり悪意あるプログラムが実行されたりする可能性があります。

アップデートする
開発者が提供する情報をもとに、各製品に対応したアップデートを適用してください。

• MELSEC iQ-R シリーズ EtherNet/IP ネットワークインタフェースユニット
  • RJ71EIP91: シリアル No. の上 2桁が "03" およびそれ以上
• MELSEC iQ-R シリーズ PROFINET IO コントローラユニット
  • RJ71PN92: シリアル No. の上 2桁が "02" およびそれ以上
• MELSEC iQ-R シリーズ高速データロガーユニット
  • RD81DL96: シリアル No. の上 2桁が "09" およびそれ以上
• MELSEC iQ-R シリーズ MES インタフェースユニット
  • RD81MES96N: シリアル No. の上 2桁が "05" およびそれ以上
• MELSEC iQ-R シリーズ OPC UA サーバユニット
  • RD81OPC96: シリアル No. の上 2桁が "05" およびそれ以上