公開日:2021/11/26 最終更新日:2021/11/26

JVNVU#97991574
GurumDDSにおける複数の脆弱性

概要

Gurum Networksが提供するGurumDDSには、複数の脆弱性が存在します。

影響を受けるシステム

  • GurumDDSすべてのバージョン

詳細情報

Gurum Networksが提供するGurumDDSには、次の複数の脆弱性が存在します。

  • バッファサイズの計算誤り(CWE-131) - CVE-2021-38423
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H 基本値: 6.6
  • ヒープベースのバッファオーバーフロー(CWE-122) - CVE-2021-38439
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H 基本値: 8.6

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって、バッファオーバーフローが発生する - CVE-2021-38423
  • 遠隔の第三者によって、サービス運用妨害(DoS)状態になったり、任意のコードを実行されたりする - CVE-2021-38439

対策方法

2021年11月26日現在、GurumDDSは対策バージョンが公開されていません。詳しくはGurum Networksにお問い合わせください。

ベンダ情報

ベンダ リンク
GurumNetworks GurumDDS

参考情報

  1. ICS Advisory (ICSA-21-315-02)
    Multiple Data Distribution Service (DDS) Implementations

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia