公開日:2023/12/01 最終更新日:2023/12/01
JVNVU#95177889
横河電機製STARDOMにおけるリソース枯渇の脆弱性
横河電機製STARDOMには、リソース枯渇の脆弱性が存在します。
- STARDOM FCN/FCJ R1.01からR4.31まで
横河電機株式会社が提供するSTARDOMには、リソース枯渇の脆弱性(CWE-400、CVE-2023-5915)が存在します。
遠隔の第三者によって細工されたパケットをSTARDOM FCN/FCJコントローラーが受信すると、サービス運用妨害(DoS)状態を引き起こし、コントローラーのメンテナンスホームページへアクセスできなくなる可能性があります。その場合、コントローラーの設定変更やログファイル閲覧などができなくなります。
ただし、コントローラーの制御機能が停止することはありません。
ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
なお、開発者によると本脆弱性に対応したパッチの提供予定はないとのことです。
- FCN/FCJのパケットフィルタ機能(*1)を使用し、適切な送信元からの通信のみを許可するように設定する
- 適切なネットワーク制御を行う
詳しくは、開発者が提供する情報を確認してください。
| ベンダ | リンク |
| 横河電機株式会社 | YSAR-23-0003: STARDOMにサービス拒否の脆弱性 |
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
基本値:
5.3
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
