JVNDB-2008-001054
|
GE Fanuc CIMPLICITY HMI にヒープバッファオーバーフローの脆弱性
|
|
GE Fanuc CIMPLICITY HMI には、ヒープバッファオーバーフローの脆弱性が存在します。
GE Fanuc CIMPLICITY HMI は、生産情報システムの監視・制御に使われている製品です。この CIMPLICITY のネットワークサービス用プロセス(w32rtr.exe)には、ヒープバッファオーバーフローの脆弱性が、サーバとクライアントの両方に存在します。攻撃者は、この脆弱性を持つ CIMPLICITY HMI システムに、細工されたパケットを送信する事でこの脆弱性を悪用する可能性があります。
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
GE Fanuc
- GE Fanuc CIMPLICITY 7.0 およびそれ以前
|
|
|
遠隔の攻撃者によって任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
|
|
パッチを適用する
GE Funac は CIMPLICITY 6.1 SP6 Hot fix - 010708_162517_6106 および CIMPLICITY 7.0 SIM 9 を提供しています。詳しくは、GE Fanuc knowledge base (KB12458) をご確認ください。
アップデートする
CIMPLICITY 6.1 より前のバージョンをお使いの場合、CIMPLICITY 6.1 およびそれ以降にアップデートして、上記のパッチを適用してください。詳しくは、GE Fanuc knowledge base (KB12458) をご確認ください。
また、アップデートを適用できない場合は、以下の回避策を実施することで、想定される攻撃によって受ける影響を緩和することはできますが、脆弱性自体が解決されるわけでありません。
アクセスを制限する
信頼出来ないネットワークからの CIMPLICITY への通信を制限して下さい。
|
|
GE Fanuc
|
|
- バッファエラー(CWE-119) [NVD評価]
|
|
- CVE-2008-0176
|
|
- JVN : JVNVU#308556
- National Vulnerability Database (NVD) : CVE-2008-0176
- US-CERT Vulnerability Note : VU#308556
- Secunia Advisory : SA28663
- SecurityFocus : 27447
- SecurityTracker : 1019275
- FrSIRT Advisories : FrSIRT/ADV-2008-0306
|
|
|
