JVNDB-2021-001011
|
M&M Software 製 fdtCONTAINER に信頼できないデータのデシリアライズの脆弱性
|
M&M Software 社 (WAGO Kontakttechnik 社子会社) が提供し、RTIS および PACTware を含む他の製品にも使われている fdtCONTAINER コンポーネントには、信頼できないデータのデシリアライズ (CWE-502) の脆弱性が存在します。
|
CVSS v3 による深刻度 基本値: 7.8 (重要) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
WAGO
- dtmINSPECTOR 3 (FDT 1.2.x をベース)
- fdtCONTAINER application バージョン 4.5 より前のバージョン
- fdtCONTAINER application バージョン 4.5.0 から 4.5.20304.x より前のバージョン
- fdtCONTAINER application バージョン 4.6.0 から 4.6.20304.x より前のバージョン
- fdtCONTAINER component バージョン 3.5 より前のバージョン
- fdtCONTAINER component バージョン 3.5.0 から 3.5.20304.x より前のバージョン
- fdtCONTAINER component バージョン 3.6.0 から 3.6.20304.x より前のバージョン
|
また、下記の製品が影響を受けるコンポーネントを利用しているとのことです。
* Emerson Rosemount Transmitter Interface Software (RTIS) SKUs: 04088-9000-0001、4088-9000-0002、7000003-312
* PEPPERL+FUCHS PACTware バージョン 5.0 から 5.0.5.31
* Weidmüller WI Manager up to and including バージョン 2.5.1 およびそれ以前
* 三菱電機株式会社 MELSOFT FieldDeviceConfigurator Ver. 1.05F およびそれ以前
|
第三者によって、細工されたプロジェクトファイルをユーザが読み込むことで、不正なコードを秘密裏に実行される可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、利用方法に応じて下記のオプションから修正済みバージョンにアップデートしてください。
詳細は開発者へお問い合わせください。
オプション1:確認されている攻撃手法に対処し、既存のプロジェクトファイルと互換性があるが、非推奨のデシリアライゼーション技術を利用している
fdtCONTAINER component、fdtCONTAINER application
* fdtCONTAINER component バージョン 3.5.20304.x から 3.7 より前のバージョン
* fdtCONTAINER application バージョン 4.6.20304.x から 4.7 より前のバージョン
オプション2:既存のプロジェクトファイルと互換性がないが、推奨される安全なデシリアライゼーション技術を利用している
fdtCONTAINER component、fdtCONTAINER application
* fdtCONTAINER component バージョン 3.7 およびそれ以降のバージョン
* fdtCONTAINER application バージョン 4.7 およびそれ以降のバージョン
dtmINSPECTOR
* 修正済みバージョンを2021年第一四半期に提供予定とのことです。
RTIS
* 開発者が提供する情報 (PDF) を参照してください。
PEPPERL+FUCHS PACTware
* 参考情報を参照してください。
Weidmüller WI Manager
* 参考情報を参照してください。
[ワークアラウンドを実施する]
開発者が提供する情報をもとに、回避策を適用することで本脆弱性の影響を軽減できます。
三菱電機株式会社 MELSOFT FieldDeviceConfigurator
* 開発者が提供する情報 (PDF) を参照してください。
|
エマソン
三菱電機
|
- 信頼できないデータのデシリアライゼーション(CWE-502) [NVD評価]
|
- CVE-2020-12525
|
- JVN : JVNVU#94008268
- National Vulnerability Database (NVD) : CVE-2020-12525
- ICS-CERT ADVISORY : ICSA-21-021-05
- 関連文書 : VDE-2020-048 (WAGO/M&M Software: Deserialization of untrusted data in fdtContainer)
- 関連文書 : VDE-2021-001 (PEPPERL+FUCHS: Vulnerability allowing code-excution in PACTware <= 5.0.5.31)
- 関連文書 : VDE-2021-002 (WEIDMUELLER: WI Manager affected by fdtContainer vulnerability)
|
- [2021年01月25日]
掲載
- [2021年02月17日]
タイトル:内容を更新
概要:内容を更新
CVSS による深刻度:内容を更新
影響を受けるシステム:内容を更新
対策:内容を更新
ベンダ情報:Emerson Cyber Security Notification (Emerson Cybersecurity Notification Alert EMR.RMT20004-3 (PDF)) を追加
ベンダ情報:三菱電機株式会社 (MELSOFT FieldDeviceConfigurator 製品における任意のコードが実行される脆弱性) を追加
参考情報:関連文書 (VDE-2021-002 (WEIDMUELLER: WI Manager affected by fdtContainer vulnerability)) を追加
- [2021年06月21日]
影響を受けるシステム:内容を更新
|