公開日:2021/01/08 最終更新日:2021/01/08

JVNVU#99473977
Eaton 製 EASYsoft に複数の脆弱性

概要

Eaton 社が提供する EASYsoft には、複数の脆弱性が存在します。

影響を受けるシステム

  • EASYsoft バージョン 7.20 およびそれ以前

詳細情報

EASYsoft は Eaton 社が提供する回路図の作成及びシミュレーションソフトウエアです。 EASYsoft には次の複数の脆弱性が存在します。

  • 型の取り違え (CWE-843) - CVE-2020-6656
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 5.8
  • 領域外のメモリ参照 (CWE-125) - CVE-2020-6655
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 5.8

想定される影響

第三者によって、ユーザーをだまし悪意のある .E70 ファイルをアップロードさせたり、悪意のあるコードを実行したりすることで、プログラム変更やソフトウェアのクラッシュが引き起こされる。

対策方法

ワークアラウンドを実施する
2021年1月8日現在、修正済みのバージョンは提供されていません。
Eaton 社は修正パッチの提供を1月末に予定しているとのことです。

Eaton 社は、修正パッチが提供されるまで次のワークアラウンドを推奨しています。

  • 自身が作成か信頼できるソースから入手した .E70 ファイルを使用する
  • アプリケーションのクラッシュが .E70 ファイルアップロードが原因で発生した場合はアプリケーションを再起動し、その後 .E70 ファイルを再アップロードしない

ベンダ情報

ベンダ リンク
Eaton Eaton Vulnerability Advisory

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-6656
CVE-2020-6655
JVN iPedia