JVNDB-2024-009667

ジェイテクトエレクトロニクス製 Kostac PLC Programming Software における複数の脆弱性

株式会社ジェイテクトエレクトロニクスが提供する Kostac PLC Programming Software には、次の複数の脆弱性が存在します。

　* 境界外書き込み（CWE-787）- CVE-2024-47134
　* スタックベースのバッファオーバーフロー（CWE-121）- CVE-2024-47135
　* 境界外読み取り（CWE-125）- CVE-2024-47136

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Michael Heinzl 氏

株式会社ジェイテクトエレクトロニクス

• Kostac PLC Programming Software （旧名称：Koyo PLC Programming Software）Version 1.6.14.0およびそれ以前

Kostac PLC Programming Software のプロジェクトファイルの解析が不十分なため、攻撃者が Kostac PLC Programming Software Version 1.6.9.0 およびそれ以前のバージョンで保存したファイルを細工し、その細工されたファイルをユーザが開くことで、サービス運用妨害（DoS）状態となったり、任意のコードが実行されたり、情報が漏えいしたりする可能性があります。

[アップデートする]
開発者が提供する情報をもとに、Kostac PLC Programming Software をアップデートしてください。
開発者は、次のバージョンにおいて本脆弱性の対策を行っています。

　* Kostac PLC Programming Software Version 1.6.15.0 およびそれ以降

アップデートは開発者が提供する次のダウンロードサイトから入手できます。
　* PLCの資料を探す - ダウンロード｜株式会社ジェイテクトエレクトロニクス(旧 光洋電子工業）
　* PLC - Download｜JTEKT ELECTRONICS CORPORATION

[ワークアラウンドを実施する]
開発者によると、Kostac PLC Programming Software Version 1.6.10.0 およびそれ以降で保存されたファイルに対しては、改ざん防止機能が有効となっているとのことです。
そのため、Kostac PLC Programming Software Version 1.6.9.0 およびそれ以前で保存したファイルに関しては、Kostac PLC Programming Software Version 1.6.10.0 およびそれ以降で保存しなおすことで、本脆弱性の影響を軽減することが可能です。

株式会社ジェイテクトエレクトロニクス

• 株式会社ジェイテクトエレクトロニクス : 株式会社ジェイテクトエレクトロニクス の告知ページ

1. スタックベースのバッファオーバーフロー(CWE-121) [その他]
2. 境界外読み取り(CWE-125) [その他]
3. 境界外書き込み(CWE-787) [その他]

1. CVE-2024-47134
2. CVE-2024-47135
3. CVE-2024-47136

1. JVN : JVNVU#92808077

• [2024年10月03日]
    掲載