公開日:2020/06/18 最終更新日:2020/06/26

JVNVU#94736763
Treck 製 IP スタックに複数の脆弱性

概要

Treck 社が提供する IP スタックには複数の脆弱性が存在します。

影響を受けるシステム

  • Treck 社が提供する IP スタックを使用している製品
  • 図研エルミックが提供する IP スタック KASAGO を使用している製品

詳細情報

Treck 社が提供する組み込み製品向け IP スタックには複数の脆弱性が存在します。
各脆弱性の詳細は、Treck 社が提供する情報や、脆弱性の報告者 JSOF が提供している情報 (Ripple20) を参照してください。

また、図研エルミックが提供する KASAGO は Treck 社の IP スタックと同じ起源の製品であり、同様の脆弱性が存在します。詳しくは図研エルミックが提供する情報 (KASAGO製品における脆弱性に関するお知らせ) を参照してください。

想定される影響

想定される影響は、該当製品の機能・構成や各脆弱性により異なりますが、遠隔の第三者によって以下のような攻撃を受ける可能性があります。
  • サービス運用妨害 (DoS)
  • 情報漏えい
  • 任意のコード実行

対策方法

製品開発者向けの対策方法
使用する IP スタックを、開発者が提供する情報をもとに最新版にアップデートしてください。

  • Treck 社の IP スタックは 6.0.1.67 以降のバージョンに更新してください。
  • 図研エルミックの KASAGO については、最新バージョン (6.0.1.33) への更新とともに、パッチの適用や回避策の適用を検討してください。

詳細は、Treck 社や図研エルミックにお問い合わせください。

製品ユーザ向けの対策方法
該当する製品を、製品開発者が提供する情報をもとに最新版にアップデートしてください。
さらに、以下の資料を参考に、製品を接続するネットワーク環境のセキュリティ強化のための対応を検討してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ネットムーブ株式会社 脆弱性情報提供済み 2020/06/18
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2020/06/22
図研エルミック株式会社 該当製品あり 2020/06/18
富士通株式会社 該当製品無し 2020/06/26
日立 脆弱性情報提供済み 2020/06/18
横河計測株式会社 該当製品無し 2020/06/18
ベンダ リンク
Treck Inc. Vulnerability Response Information

参考情報

  1. CERT/CC Vulnerability Note VU#257161
    Treck IP stacks contain multiple vulnerabilities
  2. ICS Advisory (ICSA-20-168-01)
    Treck TCP/IP Stack
  3. JSOF
    Ripple20

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

更新履歴

2020/06/22
ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました
2020/06/26
富士通株式会社のベンダステータスが更新されました