JVNDB-2018-002441

オムロン製 CX-One に含まれるアプリケーションにおける複数の脆弱性

オムロン株式会社が提供する CX-One に含まれるアプリケーションには、次の複数の脆弱性が存在します。

* スタックベースのバッファオーバーフロー (CWE-121) - CVE-2018-7514
細工されたプロジェクトファイルの処理に起因して、スタックベースのバッファオーバーフローが発生する可能性があります。

* 不適切な型を使用したリソースへのアクセス (型の取り違え) (CWE-843) - CVE-2018-7530
細工されたプロジェクトファイルの処理に起因して、誤った型でオブジェクトを呼び出すことにより、メモリ領域外へのアクセスが発生する可能性があります。

* ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2018-8834
細工されたプロジェクトファイルの処理に起因して、ヒープベースのバッファオーバーフローが発生する可能性があります。

CX-One Version 4.4.2 およびそれ以前に含まれる次のアプリケーション

オムロン株式会社

• CX-FLnet Version 1.00 およびそれ以前
• CX-Programmer Version 9.65 およびそれ以前
• CX-Protocol Version 1.992 およびそれ以前
• CX-Server Version 5.0.22 およびそれ以前
• Network Configurator Version 3.63 およびそれ以前
• Switch Box Utility Version 1.68 およびそれ以前

遠隔の第三者によって、任意のコードを実行される可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

オムロン株式会社

• OMRON : CX-FLnet の更新内容: Ver.1.10 : CX-Oneオートアップデート（V4向け_2018年4月）
• OMRON : CX-One バージョンアップ プログラム ダウンロード
• OMRON : CX-Programmer の更新内容: Ver.9.66 : CX-Oneオートアップデート（V4向け_2018年4月）
• OMRON : CX-Protocol の更新内容: Ver.1.993 : CX-Oneオートアップデート（V4向け_2018年4月）
• OMRON : Network Configurator の更新内容: Ver.3.64 : CX-Oneオートアップデート（V4向け_2018年4月）
• OMRON : SwitchBoxUtility の更新内容: Ver.1.69 : CX-Oneオートアップデート（V4向け_2018年4月）
• OMRON : 共通モジュール の更新内容: − : CX-Oneオートアップデート（V4向け_2018年4月）

1. スタックベースのバッファオーバーフロー(CWE-121) [JPCERT/CC評価]
2. 型の取り違え(CWE-843) [JPCERT/CC評価]
3. ヒープベースのバッファオーバーフロー(CWE-122) [JPCERT/CC評価]

1. CVE-2018-7514
2. CVE-2018-7530
3. CVE-2018-8834

1. JVN : JVNVU#95484528
2. National Vulnerability Database (NVD) : CVE-2018-7514
3. National Vulnerability Database (NVD) : CVE-2018-7530
4. National Vulnerability Database (NVD) : CVE-2018-8834
5. ICS-CERT ADVISORY : ICSA-18-100-02

• [2018年04月12日]
    掲載
• [2018年08月22日]
    参考情報：National Vulnerability Database (NVD) (CVE-2018-7514) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2018-7530) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2018-8834) を追加