|
[English]
|
JVNDB-2024-013260
|
Edgecross 基本ソフトウェア Windows 版における複数の脆弱性
|
|
一般社団法人 Edgecross コンソーシアムが提供する Edgecross 基本ソフトウェア Windows 版には、次の複数の脆弱性が存在します。
* インストール時の不適切なファイルアクセス権設定(CWE-276)− CVE-2024-4229
* ファイル名やパスの外部制御(CWE-73)− CVE-2024-4230
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
|
|
|
一般社団法人 Edgecross コンソーシアム
- Edgecross 基本ソフトウェア Windows版 ECP-BS1-W 1.00 以降
- 開発者用 Edgecross 基本ソフトウェア Windows版 ECP-BS1-W-D 1.00 以降
|
後述の CVE-2024-4229 については、製品のインストール時に、管理者権限を持ったユーザのみに変更権限が与えられたフォルダ以外のフォルダを指定してインストールを行った場合にのみ、影響を受けます。
|
|
システム上で悪意のあるプログラムが実行され、情報を取得および改ざんされたり、サービス運用妨害(DoS)状態にされたりする可能性があります。
|
|
[ワークアラウンドを実施する]
開発者は、リスクを最小限に抑えるため、以下の回避策の適用を推奨しています。
* CVE-2024-4229
- 当該製品をデフォルトのインストールフォルダへインストールするか、インストールフォルダの変更が必要な場合には、管理者権限を持ったユーザのみに変更権限が与えられたフォルダを、インストールフォルダとして指定する
* CVE-2024-4230
- リアルタイムフローデザイナのプログラム実行フィードバック設定にてプログラムを指定する場合には、信頼できるファイルを指定する
* CVE-2024-4229、CVE-2024-4230
- 当該製品を使用するパソコンをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク (VPN) 等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
- 当該製品を使用するパソコンを LAN 内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
- 信頼できないファイル(特にプロジェクトファイル)を開いたり、信頼できないリンクをクリックしないようにする
|
|
一般社団法人 Edgecross コンソーシアム
|
|
- 不適切なデフォルトパーミッション(CWE-276) [その他]
- ファイル名やパス名の外部制御(CWE-73) [その他]
|
|
- CVE-2024-4229
- CVE-2024-4230
|
|
- JVN : JVNVU#92857077
|
|
|
