JVNVU#91676340
複数のHitachi Energy製品における複数の脆弱性

Hitachi Energyが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2022-40674、CVE-2022-43680

• AFS660/665S、AFS660/665C、AFS670v2 Firmware 7.1.05およびそれ以前のバージョン
• AFS670/675、AFR67x Firmware 9.1.07およびそれ以前のバージョン
• AFS65x 全てのバージョン
• AFF660/665 Firmware 03.0.02およびそれ以前のバージョン

• RTU500 シリーズ CMU Firmware バージョン12.0.1から12.0.15
• RTU500 シリーズ CMU Firmware バージョン12.2.1から12.2.12
• RTU500 シリーズ CMU Firmware バージョン12.4.1から12.4.12
• RTU500 シリーズ CMU Firmware バージョン12.6.1から12.6.9
• RTU500 シリーズ CMU Firmware バージョン12.7.1から12.7.6
• RTU500 シリーズ CMU Firmware バージョン13.2.1から13.2.6
• RTU500 シリーズ CMU Firmware バージョン13.3.1から13.3.3
• RTU500 シリーズ CMU Firmware バージョン13.4.2

• RTU500 シリーズ CMU Firmware バージョン12.0.1から12.0.14
• RTU500 シリーズ CMU Firmware バージョン12.2.1から12.2.11
• RTU500 シリーズ CMU Firmware バージョン12.4.1から12.4.11
• RTU500 シリーズ CMU Firmware バージョン12.6.1から12.6.8
• RTU500 シリーズ CMU Firmware バージョン12.7.1から12.7.5
• RTU500 シリーズ CMU Firmware バージョン13.2.1から13.2.5
• RTU500 シリーズ CMU Firmware バージョン13.3.1から13.3.3
• RTU500 シリーズ CMU Firmware バージョン13.4.1

Hitachi Energyが提供する複数の製品には、次の複数の脆弱性が存在します。

• 解放済みメモリの使用 (CWE-416) - CVE-2022-40674、CVE-2022-43680
• 型の取り違え (CWE-843) - CVE-2023-0286
• タイミングの違いに起因する情報漏えい (CWE-208) - CVE-2022-4304
• 境界外読み取り (CWE-125) - CVE-2022-23937、CVE-2021-3712
• 無限ループ (CWE-835) - CVE-2022-0778
• 古典的バッファーオーバーフロー (CWE-120) - CVE-2021-3711

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

• 機微な情報が漏えいしたり、データの追加や変更をされたり、サービス運用妨害（DoS）状態を引き起こされたりする - CVE-2022-40674
• サービス運用妨害（DoS）状態を引き起こされる - CVE-2022-43680、CVE-2022-23937、CVE-2022-0778
• メモリの内容を読み取られたり、サービス運用妨害（DoS）状態を引き起こされたりする - CVE-2023-0286
• 暗号化データを解読される - CVE-2022-4304
• アプリケーションの動作を変更されたり，アプリケーションをクラッシュされたりする - CVE-2021-3711
• サービス運用妨害（DoS）状態を引き起こされたり、機微な情報を窃取されたりする - CVE-2021-3712

アップデートする
2023年10月20日現在、開発者は、一部の脆弱性および製品に対するアップデートを提供しています。

ワークアラウンドを実施する
本脆弱性すべてを修正するアップデートは準備中です。アップデートが利用可能となるまで、開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。