公開日:2023/02/10 最終更新日:2023/05/17
JVNVU#99551468
図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性
図研エルミック株式会社が提供する組込み用TCP/IPプロトコルスタックKASAGOでは、TCP初期シーケンス番号の生成時に十分なランダム値が使用されていません。
以下の製品の Ver6.0.1.34 より前のバージョン。
- KASAGO IPv6/v4 Dual
- KASAGO IPv4
- KASAGO IPv4 Light
- KASAGO mobile IPv6
図研エルミック株式会社が提供する組込み用TCP/IPプロトコルスタックKASAGOでは、TCP初期シーケンス番号の生成時にKASAGO独自のランダム値取得関数を使用しており、十分なランダム値が使用されていません(CWE-330)。
悪意のある第三者にTCP初期シーケンス番号(ISN)を特定され、既存のTCP接続を乗っ取られたり、将来のTCP接続を偽装される可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性はバージョン「Ver6.0.1.34」で修正されています。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| DMG MORI Digital株式会社 | 該当製品無し | 2023/02/10 | |
| オムロン株式会社 | 脆弱性情報提供済み | 2023/02/10 | |
| パナソニック株式会社 | 該当製品あり | 2023/05/15 | パナソニック株式会社 の告知ページ |
| 富士通株式会社 | 該当製品無し(調査中) | 2023/02/10 | |
| 株式会社デンソーウェーブ | 該当製品無し | 2023/02/23 |
| ベンダ | リンク |
| 図研エルミック株式会社 | KASAGO製品における脆弱性に関するお知らせ |
CVSS v3
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
基本値:
5.9
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
- 2023/02/15
- 株式会社デンソーウェーブのベンダステータスが更新されました
- 2023/02/17
- 株式会社デンソーウェーブのベンダステータスが更新されました
- 2023/02/17
- 株式会社デンソーウェーブのベンダステータスが更新されました
- 2023/02/20
- 株式会社デンソーウェーブのベンダステータスが更新されました
- 2023/02/25
- 株式会社デンソーウェーブのベンダステータスが更新されました
- 2023/05/17
- パナソニック ホールディングス株式会社のベンダステータスが更新されました
