公開日:2023/01/20 最終更新日:2023/01/20

JVNVU#95910765
Hitachi Energy製PCU400における脆弱なOSSコンポーネントへの依存の問題

概要

Hitachi Energyが提供するPCU400には、脆弱なOSSコンポーネントへの依存の問題が複数存在します。

影響を受けるシステム

  • PCU400 v9.3.8より前のv9.3系
  • PCULogger v1.0.1

詳細情報

Hitachi Energyが提供するPCU400は、Network Manager用のデータ収集システムです。PCU400には、次の複数の脆弱性が存在します。

  • 脆弱なOSSコンポーネント(OpenSSL)への依存 (CWE-1357) - CVE-2022-3602、CVE-2022-3786

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって次のような影響を受ける可能性があります。

  • PCU400 LoggerおよびPCUCAGサーバが、サービス運用妨害(DoS)状態にされる - CVE-2022-3602、CVE-2022-3786

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hitachi Energy OpenSSL v3.x Related Vulnerabilities in Hitachi Energy’s Network Manager Process Communication Unit PCU400 Product(PDF)

参考情報

  1. ICS Advisory (ICSA-23-019-01)
    Hitachi Energy PCU400
  2. OpenSSL Security Advisory [01 November 2022]
    X.509 Email Address 4-byte Buffer Overflow (CVE-2022-3602) / X.509 Email Address Variable Length Buffer Overflow (CVE-2022-3786)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia