公開日:2020/07/03 最終更新日:2020/07/08
JVNVU#95413676
三菱電機製 GOT2000 シリーズの TCP/IP 機能における複数の脆弱性
三菱電機株式会社が提供する GOT2000 シリーズには、複数の脆弱性が存在します。
下記モデルの CoreOS バージョン -Y およびそれ以前
- GT27 モデル
- GT25 モデル
- GT23 モデル
三菱電機株式会社が提供する GOT2000 シリーズの GT27、GT25、GT23 のファームウェアに組込まれている TCP/IP 機能には、次の複数の脆弱性が存在します。
- バッファエラー (CWE-119) - CVE-2020-5595
- セッションの固定化 (CWE-384) - CVE-2020-5596
- NULL ポインタデリファレンス (CWE-476) - CVE-2020-5597
- 不適切なアクセス制御 (CWE-284) - CVE-2020-5598
- 引数の挿入または変更 (CWE-88) - CVE-2020-5599
- リソース管理の問題 (CWE-399) - CVE-2020-5600
第三者によって細工されたパケットを受信することで、製品のネットワーク機能が停止したり悪意あるプログラムが実行されたりする可能性があります。
アップデートする
開発者が提供する次の手順に従って、CoreOS を最新版にアップデートしてください。
- MELSOFT GT Designer3(2000) 1.240A 以降のバージョンを、三菱電機FAサイトのソフトウェアダウンロードコーナーよりダウンロードしインストールする
- MELSOFT GT Designer3(2000) を起動し、バージョン Z 以降の CoreOS を SD カードに作成する
- SD カードを対象製品に挿入し、CoreOS を最新バージョンへアップデートする
ワークアラウンドを実施する
信頼できないネットワークやホストからのアクセスを制限することで、本脆弱性の影響を軽減できます。
詳しくは、開発者が提供する情報をご確認ください。
| ベンダ | リンク |
| 三菱電機株式会社 | GOT2000シリーズにおけるTCP/IPスタックの複数の脆弱性 |
CVSS v3
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値:
9.8
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-5595 |
|
CVE-2020-5596 |
|
|
CVE-2020-5597 |
|
|
CVE-2020-5598 |
|
|
CVE-2020-5599 |
|
|
CVE-2020-5600 |
|
| JVN iPedia |
|
- 2020/07/08
- 【参考情報】に ICS Advisory のリンクを追加しました
