langEnglish
ホーム > INplc > INplc What's New - サポート情報/トラブル -
[JVN#59624986]
INplc製品3.08までの脆弱性に関する情報
マイクロネット INplc SDK インストーラにおける
任意の DLL 読み込みの脆弱性
  • 情報公開日
2018/9/7
  • 概要
株式会社マイクロネットが提供する INplc SDK Express 製品、および INplc SDK Pro+ 製品のインストーラには DLL 読み込みに関する脆弱性が存在します
  • 脆弱性の対象となる製品
INplc SDK Express
INplc SDK Pro+
バージョン 3.08 とそれ以前が対象です
  • 脆弱性の詳細情報
株式会社マイクロネットが提供する INplc SDK Express 製品、および INplc SDK Pro+ 製品のインストーラには外部 DLL を読み込む問題があり、悪意ある同名の DLL を配置された場合に読み込んでしまう脆弱性が存在します
  • 想定される影響
インストーラを実行している権限で、任意のコードが実行される可能性があります。なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。既にインストールされた INplc 製品は影響を受けません
  • 対応方法
(1) 情報公開日以降の出荷製品から本脆弱性を修正したインストーラに変更されました
(2) 過去の製品パッケージをお持ちの場合でも、製品 CD-ROM 上のインストーラをご使用いただく限り DLL を改竄される危険はありません
(3) 過去の製品パッケージをお持ちの場合で、製品 CD-ROM 内容を書き換え可能な記憶メディアにコピーして使用することはお控えください
  • 謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
  • 関連する脆弱性
N/A
マイクロネット INplc におけるバッファオーバーフローの脆弱性
  • 情報公開日
2018/9/7
  • 概要
株式会社マイクロネットが提供する INplc-RT 製品にはバッファオーバーフローの脆弱性が存在します
  • 脆弱性の対象となる製品
INplc-RT
バージョン 3.08 とそれ以前が対象です
  • 脆弱性の詳細情報
株式会社マイクロネットが提供する INplc-RT 製品はバッファーオーバーフローの問題があり、悪意あるトランザクションの影響を受ける脆弱性が存在します
  • 想定される影響
攻撃者が悪意のある文字列を送信することにより、制御機器等が暴走する可能性があります
  • 対応方法
(1) 情報公開日以降の出荷製品から本脆弱性を修正したバージョンに変更されました
(2) UDP ポート 1221 を外部に開放しないように設定することで回避可能です
  • 謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
  • 関連する脆弱性
N/A
マイクロネット INplc における認証不備と権限昇格の脆弱性
  • 情報公開日
2018/9/7
  • 概要
株式会社マイクロネットが提供する INplc-RT 製品には認証不備の脆弱性が存在します。またこの脆弱性を応用して Windows ファイルを改竄することによる権限昇格の脆弱性が存在します
  • 脆弱性の対象となる製品
INplc-RT
バージョン 3.08 とそれ以前が対象です
  • 脆弱性の詳細情報
株式会社マイクロネットが提供する INplc-RT 製品には認証不備の問題があり、攻撃者の偽装されたリクエストの影響を受ける脆弱性があります。また、この脆弱性を応用して Windows ファイルを改竄されることによる権限昇格の脆弱性が存在します
  • 想定される影響
攻撃者がプロトコルに準拠したトラフィックを介することにより、制御機器の不正操作、ラダープログラムの改竄、悪意あるファイルの配置が行われ、不正侵入の足掛かりとなる可能性があります
  • 対応方法
(1) 情報公開日以降の出荷製品から本脆弱性を修正したバージョンに変更されました
(2) UDP ポート 1221、TCP ポート 1222、29701、41100 を外部に開放しないように設定することで回避可能です
  • 謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました
報告者: 東京大学/日本電気株式会社 白木光達 氏
  • 関連する脆弱性
N/A