公開日:2020/03/11 最終更新日:2020/03/11
JVNVU#92370624
三菱電機製データ収集アナライザ MELQIC IU1 シリーズの TCP/IP 機能における複数の脆弱性
三菱電機株式会社が提供するデータ収集アナライザ MELQIC IU1 シリーズには、複数の脆弱性が存在します。
- IU1-1M20-D (バージョン 1.07 およびそれ以前)
三菱電機株式会社が提供する MELQIC IU1 シリーズ には、ファームウェアに組込まれている TCP/IP 機能に複数の脆弱性が存在します。
- バッファエラー (CWE-119) - CVE-2020-5542
- セッションの固定化 (CWE-384) - CVE-2020-5543
- NULL ポインタデリファレンス (CWE-476) - CVE-2020-5544
- 不適切なアクセス制御 (CWE-284) - CVE-2020-5545
- 引数の挿入または変更 (CWE-88) - CVE-2020-5546
- リソース管理の問題 (CWE-399) - CVE-2020-5547
第三者によって細工されたパケットを受信することで、製品のネットワーク機能が停止したりマルウエアが実行される可能性があります。
アップデートする
開発者が提供する情報をもとに適切なアップデートを実施してください。
開発者によると、IU Configuration Tool バージョン 1.04以降を使用し、当該製品のファームウェアをバージョン 1.08以降へバージョンアップすることが必要とのことです。
ワークアラウンドを実施する
信頼できないネットワークやホストからのアクセスを、ファイアウォールでブロックするなどの対策を実施することで、本脆弱性の影響を軽減できます。
| ベンダ | リンク |
| 三菱電機株式会社 | MELQIC IU1シリーズのTCP/IPスタックに複数の脆弱性 |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-5542 |
|
CVE-2020-5543 |
|
|
CVE-2020-5544 |
|
|
CVE-2020-5545 |
|
|
CVE-2020-5546 |
|
|
CVE-2020-5547 |
|
| JVN iPedia |
|
