公開日:2022/09/09 最終更新日:2022/09/09

JVNVU#97545943
MZ Automation製libIEC61850における複数の脆弱性

概要

MZ Automationが提供するlibIEC61850には、複数の脆弱性が存在します。

影響を受けるシステム

  • libIEC61850 1.4およびそれ以前のバージョン
  • libIEC61850 1.5 commit a3b04b7bc4872a5a39e5de3fdc5fbde52c09e10eより前のバージョン

詳細情報

MZ Automationが提供するソースコードライブラリlibIEC61850には、次の複数の脆弱性が存在します。

  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2022-2970、CVE-2022-2972
  • 型の取り違え (CWE-843) - CVE-2022-2971
  • NULLポインタ参照 (CWE-476) - CVE-2022-2973

想定される影響

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

  • デバイスをクラッシュさせられたり、任意のコードを実行される - CVE-2022-2970、CVE-2022-2972
  • サーバをクラッシュさせられる - CVE-2022-2971、CVE-2022-2973

対策方法

アップデートする
開発者は、アップデートを提供しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
MZ Automation GitHub - mz-automation/libiec61850: Official repository for libIEC61850, the open-source library for the IEC 61850 protocols

参考情報

  1. ICS Advisory (ICSA-22-251-01)
    MZ Automation libIEC61850

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia