OPC 製品における複数の脆弱性
| Title |
OPC 製品における複数の脆弱性
|
| Summary |
OPC Foundation が提供する OPC UA 製品および Unified Automation が提供する OPC UA クライアント / サーバの SDK バンドルには、次の複数の脆弱性が存在します。 * 不適切な再帰制御 (CWE-674) - CVE-2021-27432 * 情報漏えい (CWE-200) - CVE-2021-27434
|
| Possible impacts |
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * 遠隔の第三者によって、スタックオーバーフローを引き起こされる。 - CVE-2021-27432 * 遠隔の第三者によって、ファイルシステム上のアクセスを許可していない機密情報を窃取される。 - CVE-2021-27434 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートまたはソフトウェアの更新をしてください。 * CVE-2021-27432 * OPC Foundation が提供する OPC UA .NET Standard 1.4.365.48 にアップデートする。 * CVE-2021-27434 * Unified Automation が提供する OPC UA クライアント / サーバの SDK バンドルを最新にアップデートする。 |
| Publication Date |
May 14, 2021, midnight |
| Registration Date |
May 17, 2021, 5:33 p.m. |
| Last Update |
Oct. 25, 2021, 1:50 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| OPC Foundation |
|
UA .NET Legacy
|
|
UA .NET Standard 1.4.365.48 より前のバージョン
|
| Unified Automation GmbH |
|
.NET ベースの OPC UA クライアント / サーバの SDK バンドル 3.0.7 およびそれ以前(.NET 4.5、4.0 および 3.5 Framework バージョンのみ)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年05月17日]
掲載 |
May 17, 2021, 5:33 p.m. |
| 2 |
[2021年10月22日]
参考情報:ICS-CERT ADVISORY (ICSA-21-294-03) を追加 |
Oct. 22, 2021, 11:05 a.m. |
| 3 |
[2021年10月25日]
ベンダ情報:三菱電機 (三菱電機株式会社 の告知ページ) を追加 |
Oct. 25, 2021, 1:49 p.m. |
NVD Vulnerability Information
CVE-2021-27432
| Summary |
OPC Foundation UA .NET Standard versions prior to 1.4.365.48 and OPC UA .NET Legacy are vulnerable to an uncontrolled recursion, which may allow an attacker to trigger a stack overflow.
|
| Publication Date |
May 21, 2021, 1:15 a.m. |
| Registration Date |
May 21, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 2:57 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:opcfoundation:ua_.net_standard_stack:*:*:*:*:*:*:*:* |
|
|
|
1.4.365.48 |
| cpe:2.3:a:opcfoundation:ua-.net-legacy:-:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-27434
| Summary |
Products with Unified Automation .NET based OPC UA Client/Server SDK Bundle: Versions V3.0.7 and prior (.NET 4.5, 4.0, and 3.5 Framework versions only) are vulnerable to an uncontrolled recursion, which may allow an attacker to trigger a stack overflow.
|
| Publication Date |
May 20, 2021, 11:15 p.m. |
| Registration Date |
May 21, 2021, 10 a.m. |
| Last Update |
Nov. 21, 2024, 2:57 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:unified-automation:.net_based_opc_ua_client\/server_sdk:*:*:*:*:*:*:*:* |
|
3.0.7 |
|
|
| execution environment |
| 1 |
cpe:2.3:a:microsoft:.net_framework:3.5:*:*:*:*:*:*:* |
| 2 |
cpe:2.3:a:microsoft:.net_framework:4.0:*:*:*:*:*:*:* |
| 3 |
cpe:2.3:a:microsoft:.net_framework:4.5:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List