公開日:2018/09/07 最終更新日:2018/09/07

JVN#59624986
INplc における複数の脆弱性

概要

株式会社マイクロネットが提供する INplc には、複数の脆弱性が存在します。

影響を受けるシステム

  • INplc SDK Express 3.08 およびそれ以前のインストーラ (CVE-2018-0667)
  • INplc SDK Pro+ 3.08 およびそれ以前のインストーラ (CVE-2018-0667)
  • INplc-RT 3.08 およびそれ以前 (CVE-2018-0668, CVE-2018-0669, CVE-2018-0670, CVE-2018-0671)

詳細情報

株式会社マイクロネットが提供する INplc には、次の複数の脆弱性が存在します。

  • DLL 読み込みに関する脆弱性 (CWE-427) - CVE-2018-0667
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
    CVSS v2 AV:N/AC:M/AU:N/C:P/I:P/A:P 基本値: 6.8
  • バッファオーバーフロー (CWE-119) - CVE-2018-0668
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
    CVSS v2 AV:N/AC:L/AU:N/C:P/I:P/A:P 基本値: 7.5
  • 認証不備 (CWE-287) - CVE-2018-0669
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
    CVSS v2 AV:N/AC:L/AU:N/C:P/I:P/A:P 基本値: 7.5
  • 認証不備 (CWE-287) - CVE-2018-0670
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
    CVSS v2 AV:N/AC:L/AU:N/C:P/I:P/A:P 基本値: 7.5
  • 権限昇格 - CVE-2018-0671
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H 基本値: 8.8
    CVSS v2 AV:N/AC:M/AU:N/C:P/I:P/A:P 基本値: 6.8

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • インストーラを実行している権限で、任意のコードを実行される - CVE-2018-0667
  • 遠隔の第三者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする - CVE-2018-0668
  • 遠隔の第三者によって、プロトコルに準拠したトラフィックを介して、任意のコマンドを実行される - CVE-2018-0669, CVE-2018-0670
  • アカウント「guest」で当該製品にログイン可能なユーザによって、管理者権限で任意の操作を実行される - CVE-2018-0671

対策方法

最新のインストーラを使用する - CVE-2018-0667
開発者が提供する情報をもとに、最新のインストーラを使用してください。
また、インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認してください。

なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。

アップデートする - CVE-2018-0668, CVE-2018-0669, CVE-2018-0670, CVE-2018-0671
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
株式会社マイクロネット 該当製品あり 2018/09/07 株式会社マイクロネット の告知ページ

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 東京大学/日本電気株式会社 白木 光達 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-0667
CVE-2018-0668
CVE-2018-0669
CVE-2018-0670
CVE-2018-0671
JVN iPedia JVNDB-2018-000092