JVNVU#91550327
GE 製 UR family における複数の脆弱性

General Electric が提供する UR family には、複数の脆弱性が存在します。

• 次のバージョンで動作する UR family (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60)
  • ファームウェアバージョン 8.10 より前のバージョン
  • ブートローダーバージョン 7.03/7.04 より前のバージョン

General Electric が提供する UR family には、次の複数の脆弱性が存在します。

• 不適切な暗号強度 (CWE-326) - CVE-2016-2183、CVE-2013-2566

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• セッションID固定 (CWE-384) - CVE-1999-1085

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

  基本値: 5.3

• 情報漏えい (CWE-200) - CVE-2021-27422

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• 不適切な入力確認 (CWE-20) - CVE-2021-27418

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

  基本値: 5.3

• 不適切な入力確認 (CWE-20) - CVE-2021-27420

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

  基本値: 5.3

• 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-27428

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

  基本値: 7.5

• 安全でない値へのデフォルトの変数初期化 (CWE-453) - CVE-2021-27426

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 情報漏えい (CWE-200) - CVE-2021-27424

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

  基本値: 5.3

• ハードコードされた認証情報の使用 (CWE-798) - CVE-2021-27430

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.4

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、暗号化した通信内容を復号化される - CVE-2016-2183、CVE-2013-2566
• 遠隔の第三者によって、SSH クライアントとサーバー間のストリームに任意のデータを挿入される - CVE-1999-1085
• 遠隔の第三者によって、認証情報不要で機微な情報を窃取される - CVE-2021-27422
• 当該製品の Web インターフェースを使用するユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2021-27418
• 遠隔の第三者によって、Web サーバがサービス運用妨害 (DoS) 状態にされる - CVE-2021-27420
• 遠隔の第三者によって、ファームウェアを不正にアップデートされる - CVE-2021-27428
• ベンダーが IED を保守時に使用される「ファクトリモード」を無効化することができない - CVE-2021-27426
• 遠隔の第三者によって、機微な情報を窃取される - CVE-2021-27424
• UR IED に物理的にアクセス可能な第三者によって、UR 再起動中に起動シーケンスを中断される - CVE-2021-27430

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性を修正したファームウエアバージョン 8.10 がリリースされています。