公開日:2023/12/08 最終更新日:2023/12/08

JVNVU#98954443
Edgecross 基本ソフトウェア Windows版における複数の脆弱性

概要

一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-0286

  • Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.10 から 1.28 までのバージョン
  • 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.10 から 1.28 までのバージョン
CVE-2022-4304
  • Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.00 から 1.28 までのバージョン
  • 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.00 から 1.28 までのバージョン
CVE-2018-25032
  • Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.20 から 1.28 までのバージョン
  • 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.20 から 1.28 までのバージョン
バージョンの確認方法については、開発者が提供する情報を参照してください。

詳細情報

一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数のサードパーティ製コンポーネントが含まれており、これらのコンポーネントで指摘されている以下の脆弱性の影響を受けます。

  • CVE-2023-0286、CVE-2022-4304 (OpenSSL)
  • CVE-2018-25032 (zlib)

想定される影響

細工した設定ファイルをエクスポートされたり、細工したパケットを送信されたりすることで、当該製品をサービス運用妨害(DoS)状態にされたり、情報を窃取されたりする可能性があります。

対策方法

アップデートする
本脆弱性を修正したバージョンがリリースされています。開発者が提供する情報をもとにアップデートを実施してください。

ワークアラウンドを実施する
アップデートの実施まで時間がかかる場合にはワークアラウンドの適用が推奨されています。詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
一般社団法人Edgecrossコンソーシアム Edgecross基本ソフトウェアWindows版におけるサービス拒否(DoS)及び情報漏洩の脆弱性

参考情報

  1. OpenSSL Security Advisory [7th February 2023]
    X.400 address type confusion in X.509 GeneralName (CVE-2023-0286)
  2. madler/zlib · GitHub
    CVE-2018-25032 (zlib memory corruption on deflate) #605

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia