JVNVU#95980140
三菱電機製 MELSEC iQ-R シリーズにおけるリソース枯渇の脆弱性

三菱電機株式会社が提供する MELSEC iQ-R シリーズには、リソース枯渇の脆弱性が存在します。

MELSEC iQ-R シリーズのユニットのうち、次の製品形名とファームウェアバージョンのものが影響を受けます。

• R00/01/02CPU ファームウェアバージョン "19" およびそれ以前
• R04/08/16/32/120 (EN) CPU ファームウェアバージョン "51" およびそれ以前
• R08/16/32/120SFCPU ファームウェアバージョン "22" およびそれ以前
• R08/16/32/120PCPU ファームウェアバージョン "25" およびそれ以前
• R08/16/32/120PSFCPU ファームウェアバージョン "06" およびそれ以前
• RJ71EN71 ファームウェアバージョン "47" およびそれ以前
• RJ71GF11-T2 ファームウェアバージョン "47" およびそれ以前
• RJ72GF15-T2 ファームウェアバージョン "07" およびそれ以前
• RJ71GP21-SX ファームウェアバージョン "47" およびそれ以前
• RJ71GP21S-SX ファームウェアバージョン "47" およびそれ以前
• RJ71GN11-T2 ファームウェアバージョン "11" およびそれ以前

三菱電機株式会社が提供する MELSEC iQ-R シリーズのユニットには、リソース枯渇の脆弱性 (CWE-400) が存在します。

遠隔の第三者によって細工された SLMP パケットを受信することで次のような影響を受ける可能性があります。

• CPU ユニットの場合、エラーが発生し、プログラムの実行および通信がサービス運用妨害 (DoS) 状態となる
• CPU ユニット以外の場合、ユニット経由の通信がサービス運用妨害 (DoS) 状態となる

アップデートする
開発者が提供する情報をもとにアップデートしてください。

• R00/01/02CPU ファームウェアバージョン "20" およびそれ以降
• R04/08/16/32/120 (EN) CPU ファームウェアバージョン "52" およびそれ以降
• R08/16/32/120SFCPU ファームウェアバージョン "23" およびそれ以降
• R08/16/32/120PCPU ファームウェアバージョン "26" およびそれ以降
• R08/16/32/120PSFCPU ファームウェアバージョン "07" およびそれ以降
• RJ71EN71 ファームウェアバージョン "48" およびそれ以降
• RJ71GF11-T2 ファームウェアバージョン "48" およびそれ以降
• RJ72GF15-T2 ファームウェアバージョン "08" およびそれ以降
• RJ71GP21-SX ファームウェアバージョン "48" およびそれ以降
• RJ71GP21S-SX ファームウェアバージョン "48" およびそれ以降
• RJ71GN11-T2 ファームウェアバージョン "12" およびそれ以降

ワークアラウンドを実施する
開発者によると、アップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。

• 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) などを使用する
• 当該製品を LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する

詳しくは、開発者が提供する情報を参照してください。