公開日:2021/01/08 最終更新日:2021/01/27

JVNVU#99473977
Eaton 製 easySoft に複数の脆弱性

概要

Eaton 社が提供する easySoft には、複数の脆弱性が存在します。

影響を受けるシステム

  • easySoft バージョン 7.22 より前のバージョン

詳細情報

easySoft は Eaton 社が提供する回路図の作成及びシミュレーションソフトウエアです。easySoft には次の複数の脆弱性が存在します。

  • 型の取り違え (CWE-843) - CVE-2020-6656
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 5.8
  • 領域外のメモリ参照 (CWE-125) - CVE-2020-6655
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 5.8

想定される影響

第三者によってユーザーをだまし悪意のある .E70 ファイルをアップロードさせたり、悪意のあるコードを実行したりすることで、プログラム変更やソフトウェアのクラッシュが引き起こされる。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • easySoft バージョン 7.22

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • 自身が作成か信頼できるソースから入手した .E70 ファイルを使用する
  • アプリケーションのクラッシュが .E70 ファイルアップロードが原因で発生した場合はアプリケーションを再起動し、その後 .E70 ファイルを再アップロードしない

ベンダ情報

ベンダ リンク
Eaton Eaton Vulnerability Advisory
easySoft
Eaton software download center

参考情報

  1. ICS Advisory (ICSA-21-007-03)
    Eaton EASYsoft

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-6655
CVE-2020-6656
JVN iPedia

更新履歴

2021/01/27
[タイトル] [概要] [影響を受けるシステム] [詳細情報] [対策方法] [ベンダ情報リンク] [関連文章] を更新しました。本脆弱性を修正したアップデートがリリースされました。