JVNVU#93838113
複数の Triangle MicroWorks 製品に脆弱性

Triangle MicroWorks 社が提供する複数の製品には、脆弱性が存在します。

• DNP3 Outstation Libraries
• SCADA Data Gateway

• DNP3 Outstation .NET Protocol components version 3.16.00 から 3.25.01 まで
• DNP3 Outstation ANSI C source code libraries version 3.16.00 から 3.25.01 まで
• SCADA Data Gateway software version 2.41.0213 から 4.0.122 まで

Triangle MicroWorks 社が提供する、制御システム向けライブラリ DNP3 Outstation Libraries、および制御システム向けデータ管理アプリケーション SCADA Data Gateway には、次の脆弱性が存在します。

DNP3 Outstation Libraries

• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2020-6966

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 型の取り違え (CWE-843) - CVE-2020-10611

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 境界外読み取り (CWE-125) - CVE-2020-10613

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

  基本値: 5.3

• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2020-10615

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 7.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 認証されていない遠隔の第三者によって、コード実行を停止される - CVE-2020-6966
• 認証されていない遠隔の第三者によって、任意のコードを実行される- CVE-2020-10611
• 認証されていない遠隔の第三者によって、機微な情報を窃取される - CVE-2020-10613
• 認証されていない遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける - CVE-2020-10615

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。