[JVN#59624986]
INplc製品3.08までの脆弱性に関する情報
マイクロネット INplc SDK インストーラにおける
任意の DLL 読み込みの脆弱性
株式会社マイクロネットが提供する INplc SDK Express 製品、および INplc SDK Pro+ 製品のインストーラには DLL
読み込みに関する脆弱性が存在します
INplc SDK Express
INplc SDK Pro+
バージョン 3.08 とそれ以前が対象です
株式会社マイクロネットが提供する INplc SDK Express 製品、および INplc SDK Pro+ 製品のインストーラには外部 DLL
を読み込む問題があり、悪意ある同名の DLL を配置された場合に読み込んでしまう脆弱性が存在します
インストーラを実行している権限で、任意のコードが実行される可能性があります。なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。既にインストールされた INplc
製品は影響を受けません
| (1) |
情報公開日以降の出荷製品から本脆弱性を修正したインストーラに変更されました |
| (2) |
過去の製品パッケージをお持ちの場合でも、製品 CD-ROM 上のインストーラをご使用いただく限り DLL を改竄される危険はありません |
| (3) |
過去の製品パッケージをお持ちの場合で、製品 CD-ROM 内容を書き換え可能な記憶メディアにコピーして使用することはお控えください |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
マイクロネット INplc におけるバッファオーバーフローの脆弱性
株式会社マイクロネットが提供する INplc-RT 製品にはバッファオーバーフローの脆弱性が存在します
INplc-RT
バージョン 3.08 とそれ以前が対象です
株式会社マイクロネットが提供する INplc-RT 製品はバッファーオーバーフローの問題があり、悪意あるトランザクションの影響を受ける脆弱性が存在します
攻撃者が悪意のある文字列を送信することにより、制御機器等が暴走する可能性があります
| (1) |
情報公開日以降の出荷製品から本脆弱性を修正したバージョンに変更されました |
| (2) |
UDP ポート 1221 を外部に開放しないように設定することで回避可能です |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
マイクロネット INplc における認証不備と権限昇格の脆弱性
株式会社マイクロネットが提供する INplc-RT 製品には認証不備の脆弱性が存在します。またこの脆弱性を応用して Windows
ファイルを改竄することによる権限昇格の脆弱性が存在します
INplc-RT
バージョン 3.08 とそれ以前が対象です
株式会社マイクロネットが提供する INplc-RT 製品には認証不備の問題があり、攻撃者の偽装されたリクエストの影響を受ける脆弱性があります。また、この脆弱性を応用して
Windows ファイルを改竄されることによる権限昇格の脆弱性が存在します
攻撃者がプロトコルに準拠したトラフィックを介することにより、制御機器の不正操作、ラダープログラムの改竄、悪意あるファイルの配置が行われ、不正侵入の足掛かりとなる可能性があります
| (1) |
情報公開日以降の出荷製品から本脆弱性を修正したバージョンに変更されました |
| (2) |
UDP ポート 1221、TCP ポート 1222、29701、41100 を外部に開放しないように設定することで回避可能です |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
製品・ソリューション
