JVNDB-2020-010093

Treck 社製 TCP/IP スタックに複数の脆弱性

Treck 社が提供する TCP/IP スタックには次の複数の脆弱性が存在します。

　* ヒープベースのバッファオーバーフロー(CWE-122) - CVE-2020-25066
　* 境界外書き込み (CWE-787) - CVE-2020-27337
　* 境界外読み取り (CWE-125) - CVE-2020-27338
　* 境界外読み取り (CWE-125) - CVE-2020-27336

TRECK

• TCP/IP stack Version 6.0.1.67 およびそれ以前の下記のコンポーネント

日立

• 日立アドバンストサーバ HA8000V シリーズ HA8000V シリーズ (CVE-2020-27337)

*影響を受ける TCP/IP stack のコンポーネント
　* HTTP Server
　* IPv6
　* DHCPv6

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

* Treck HTTP Server コンポーネントの脆弱性に起因し、遠隔の第三者によってサービス運用妨害 (DoS) 状態にされたり、任意のコードを実行されたりする - CVE-2020-25066
* IPv6 コンポーネントの脆弱性に起因し、遠隔の第三者によってサービス運用妨害 (DoS) 状態にされる - CVE-2020-27337
* DHCPv6 コンポーネントの脆弱性に起因し、第三者によってサービス運用妨害 (DoS) 状態にされる - CVE-2020-27338
* IPv6 コンポーネントの脆弱性に起因し、遠隔の第三者によって最大3バイトの情報を窃取される - CVE-2020-27336

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
　* Treck TCP/IP 6.0.1.68 以降のバージョン

[ワークアラウンド]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
　* HTTP ヘッダーに不正な長さのコンテントを含むパケットを、ファイヤーウォールで遮断する

TRECK

• TRECK : Treck is committed to delivering secure, high performing products.

日立

• サーバ・クライアント製品セキュリティ情報 : hitachi-sec-2021-205

1. ヒープベースのバッファオーバーフロー(CWE-122) [IPA評価]
2. 境界外読み取り(CWE-125) [IPA評価]
3. 境界外書き込み(CWE-787) [IPA評価]
4. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2020-25066
2. CVE-2020-27336
3. CVE-2020-27337
4. CVE-2020-27338

1. JVN : JVNVU#94829658
2. JVN : JVNVU#94736763
3. National Vulnerability Database (NVD) : CVE-2020-25066
4. National Vulnerability Database (NVD) : CVE-2020-27336
5. National Vulnerability Database (NVD) : CVE-2020-27337
6. National Vulnerability Database (NVD) : CVE-2020-27338
7. ICS-CERT ADVISORY : ICSA-20-353-01

• [2020年12月22日]
    掲載
• [2021年02月09日]
    影響を受けるシステム：内容を更新
    ベンダ情報：サーバ・クライアント製品セキュリティ情報 (hitachi-sec-2021-205) を追加