JVNDB-2021-001062
|
三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性
|
|
三菱電機株式会社が提供する FA エンジニアリングソフトウェア製品には、次の複数の脆弱性が存在します。
* ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-20587
* レングスパラメーターの不整合による不適切な処理 (CWE-130) - CVE-2021-20588
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
※上記は、CVE-2021-20587 の評価になります。
|
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
※上記は、CVE-2021-20588 の評価になります。
|
|
|
三菱電機
- C 言語コントローラ設定・モニタツール (SW4PVC-CCPU) (*1) Ver. 4.12N およびそれ以前
- CPU ユニットロギング設定ツール (*1) Ver.1.112R およびそれ以前
- CW Configurator (*1) Ver.1.011M およびそれ以前
- EZSocket (*1)(*2)(*3) Ver. 5.4 およびそれ以前
- FR Configurator (*2) 全バージョン
- FR Configurator SW3 (*2) 全バージョン
- FR Configurator2 (*2) Ver1.24A およびそれ以前
- GT Designer3 Version1(GOT1000) (*3) Ver. 1.250L およびそれ以前
- GT Designer3 Version1(GOT2000) (*3) Ver. 1.250L およびそれ以前
- GT SoftGOT1000 Version3 (*3) Ver3.245F およびそれ以前
- GT SoftGOT2000 Version1 (*3) Ver. 1.250L およびそれ以前
- GX Configurator-DP (*1) Ver. 7.14Q およびそれ以前
- GX Configurator-QP (*1) 全バージョン
- GX Developer (*1) Ver.8.506C およびそれ以前
- GX Explorer (*1) 全バージョン
- GX IEC Developer (*1) 全バージョン
- GX LogViewer (*1) Ver.1.115U およびそれ以前
- GX RemoteService-I (*1) 全バージョン
- GX Works2 (*1) Ver. 1.597X およびそれ以前
- GX Works3 (*1) Ver. 1.070Y およびそれ以前
- iQMonozukuri アンドン (データ転送ツール(*3)) 1.003D およびそれ以前
- iQMonozukuri 工程リモート監視 (データ転送ツール(*3)) 1.002C およびそれ以前
- MELFA-Works (*1) Ver.4.4 およびそれ以前
- MELSOFT EM Software Development Kit (EM Configurator) (*1) 1.015R およびそれ以前
- MELSOFT Navigator (*1)(*2)(*3) Ver.2.74C およびそれ以前
- MH11 SettingTool Version2 (*1) Ver.2.004E およびそれ以前
- MI Configurator (*1) Ver. 1.004E およびそれ以前
- MT Works2 (*1) Ver. 1.167Z およびそれ以前
- MX Component (*1)(*2)(*3) Ver. 5.001B およびそれ以前
- M_CommDTM-HART (*1) 全バージョン
- M_CommDTM-IO-Link (*1) Ver. 1.03D およびそれ以前
- PX Developer (*1) Ver.1.53F およびそれ以前
- RT ToolBox2 (*1) Ver.3.73B およびそれ以前
- RT ToolBox3 (*1) Ver.1.82L およびそれ以前
- SLMP データコレクタ (*1) Ver. 1.04E およびそれ以前
- WinCPU 設定ユーティリティ (*1) 全バージョン
- データ転送ツール (*3) Ver.3.44W およびそれ以前
- ネットワークインタフェースボード CC IE Control ユーティリティ (*1) Ver. 1.29F およびそれ以前
- ネットワークインタフェースボード CC IE Field ユーティリティ (*1) Ver. 1.16S およびそれ以前
- ネットワークインタフェースボード CC-Link Ver.2 ユーティリティ (*1) Ver. 1.23Z およびそれ以前
- ネットワークインタフェースボード MNETH ユーティリティ (*1) Ver. 34L およびそれ以前
|
(*1) 三菱電機製シーケンサ製品と通信を行うソフトウェア製品
(*2) 三菱電機製インバータ製品と通信を行うソフトウェア製品
(*3) 三菱電機製 GOT 製品と通信を行うソフトウェア製品
詳しくは、開発者が提供する情報をご確認ください。
|
|
遠隔の第三者が三菱電機製シーケンサ、GOT、あるいはインバータ製品になりすまして一部細工した応答パケットを返信し、当該製品に受信させることにより、当該製品をサービス運用妨害 (DoS) 状態にさせる可能性があります。また、悪意のあるプログラムが実行される可能性もあります。
|
|
[アップデートする]
対策版が提供されている製品およびバージョンがある場合は、開発者が提供する情報をもとに、アップデートを適用してください。
対策済みの製品およびバージョンについては、開発者が提供する情報を確認してください。
[ワークアラウンドを実施する]
対策版が提供されていない製品を使用している場合、またはアップデートを適用できない場合には、開発者が提供する情報をもとに回避策または軽減策を適用してください。
対策版が提供されない製品およびバージョンについては、開発者が提供する情報を確認してください。
詳しくは、開発者が提供する情報をご確認ください。
|
|
三菱電機
|
|
- ヒープベースのバッファオーバーフロー(CWE-122) [その他]
- レングスパラメーターの不整合による不適切な処理(CWE-130) [その他]
|
|
- CVE-2021-20587
- CVE-2021-20588
|
|
- JVN : JVNVU#92330101
- National Vulnerability Database (NVD) : CVE-2021-20587
- National Vulnerability Database (NVD) : CVE-2021-20588
- ICS-CERT ADVISORY : ICSA-21-049-02
|
|
- [2021年02月25日]
掲載
- [2021年05月28日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2021年07月29日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2021年11月17日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2022年02月09日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2022年05月25日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2022年11月18日]
影響を受けるシステム:内容を更新
対策:内容を更新
- [2025年06月06日]
概要:内容を更新
CVSS による深刻度:内容を更新
影響を受けるシステム:内容を更新
対策:内容を更新
|
