公開日:2021/05/12 最終更新日:2021/05/12

JVNVU#92650134
Delta Electronics 製 DOPSoft に境界外読み取りの脆弱性

概要

Delta Electronics 社が提供する DOPSoft には、境界外読み取りの脆弱性が存在します。

影響を受けるシステム

  • DOPSoft Version 4.0.8

詳細情報

DOPSoft は、Delta Electronics 社が提供する Human Machine Interface (HMI) の開発ソフトウェアです。DOPSoft には、プロジェクトファイル (DPA ファイル) を読み込む処理を行う際にデータを適切に検証されないことにより、メモリの境界外読み取りが発生する脆弱性が存在します。

  • 境界外読み取り (CWE-125)
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値: 3.3

    ※ 本脆弱性の影響として、情報漏えいが発生します

  • 境界外読み取り (CWE-125)
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

    ※ 本脆弱性の影響として、任意のコード実行が発生します

想定される影響

攻撃者によって細工されたプロジェクトファイル (DPA ファイル) を読み込むことにより、機微な情報が漏えいしたり、DOPSoft の実行権限で任意のコードが実行されたりする可能性があります。

対策方法

2021年5月12日現在、本脆弱性への対策は提供されていません。

ワークアラウンドを実施する
本脆弱性情報を公開した ZDI は、以下の軽減策を提示しています。
  • DOPSoft に読み込ませるファイルを制限する

ベンダ情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia