公開日:2020/04/16 最終更新日:2020/04/16

JVNVU#94295606
Eaton 製 HMiSoft VU3 に複数の脆弱性

概要

Eaton が提供する HMiSoft VU3 には、複数の脆弱性が存在します。

影響を受けるシステム

  • HMiSoft VU3 Version 3.00.23 およびそれ以前のバージョン

詳細情報

HMiSoft VU3 は、Eaton が提供する産業用プログラミングソフトウエアです。HMiSoft VU3 には、次の複数の脆弱性が存在します。
なお、ICS-CERT によると、HMIVU ランタイムは本脆弱性の影響を受けないとのことです。

  • 境界外読み取り (CWE-125) - CVE-2020-10637
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値: 3.3
  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2020-10639
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

第三者が当該製品に細工されたファイルを読み込ませることで、情報を窃取したり、任意のコードを実行したりするなどの可能性があります。

対策方法

製品の使用を停止する
HMiSoft VU3 の開発およびサポートは既に終了しています。製品の使用を停止し、代替製品への乗り換え等を検討してください。
 

ベンダ情報

ベンダ リンク
Eaton Human Machine Interface (HMI)

参考情報

  1. ICS Advisory (ICSA-20-105-01)
    Eaton HMiSoft VU3

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-10637
CVE-2020-10639
JVN iPedia