NVD Vulnerability Detail

CVE-2020-5675

Summary	Out-of-bounds read vulnerability in GT21 model of GOT2000 series (GT2107-WTBD V01.39.000 and earlier, GT2107-WTSD V01.39.000 and earlier, GT2104-RTBD V01.39.000 and earlier, GT2104-PMBD V01.39.000 and earlier, and GT2103-PMBD V01.39.000 and earlier), GS21 model of GOT series (GS2110-WTBD V01.39.000 and earlier, GS2107-WTBD V01.39.000 and earlier, GS2110-WTBD-N V01.39.000 and earlier, and GS2107-WTBD-N V01.39.000 and earlier), and Tension Controller LE7-40GU-L series (LE7-40GU-L Screen package data for CC-Link IEF Basic V1.00, LE7-40GU-L Screen package data for MODBUS/TCP V1.00, and LE7-40GU-L Screen package data for SLMP V1.00) allows a remote attacker to cause a denial-of-service (DoS) condition by sending a specially crafted packet. As a result, deterioration of communication performance or a denial-of-service (DoS) condition of the TCP communication functions of the products may occur.
Publication Date	Dec. 4, 2020, 5:15 p.m.
Registration Date	Jan. 26, 2021, 11:59 a.m.
Last Update	Nov. 21, 2024, 2:34 p.m.

CVSS3.1 : HIGH
スコア	7.5
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

CVSS2.0 : MEDIUM
Score	5.0
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2107-wtbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2107-wtbd:-:::::::*

Configuration2		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2107-wtsd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2107-wtsd:-:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2104-rtbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2104-rtbd:-:::::::*

Configuration4		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2104-pmbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2104-pmbd:-:::::::*

Configuration5		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gt2103-pmbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gt2103-pmbd:-:::::::*

Configuration6		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2110-wtbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2110-wtbd:-:::::::*

Configuration7		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2107-wtbd_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2107-wtbd:-:::::::*

Configuration8		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:le7-40gu-l_firmware:1.00:::::::*
execution environment
1	cpe:2.3:h:mitsubishielectric:le7-40gu-l:-:::::::*

Configuration9		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2110-wtbd-n_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2110-wtbd-n:-:::::::*

Configuration10		or higher	or less	more than	less than
cpe:2.3:o:mitsubishielectric:gs2107-wtbd-n_firmware::::::::			01.39.000
execution environment
1	cpe:2.3:h:mitsubishielectric:gs2107-wtbd-n:-:::::::*

Related information, measures and tools

No	URL	タグ
1	https://jvn.jp/vu/JVNVU99277775/index.html	Third Party Advisory
2	https://jvn.jp/vu/JVNVU99277775/index.html	Third Party Advisory
3	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf	Vendor Advisory
4	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf	Vendor Advisory
5	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2020-017_en.pdf	Vendor Advisory
6	https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2020-017_en.pdf	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-125	境界外読み取り	https://cwe.mitre.org/data/definitions/125.html

JVN Vulnerability Information

三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性

Title	三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
Summary	三菱電機株式会社が提供する GOT2000 シリーズ GT21 モデルおよび GOT SIMPLE シリーズ GS21 モデル、テンションコントローラには、境界外読み取り (CWE-125) に起因するサービス運用妨害 (DoS) の脆弱性が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	攻撃者によって細工されたパケットを受信した場合、通信性能が低下、または TCP 通信機能が停止する可能性があります。なお、復旧には GOT またはテンションコントローラの電源を "OFF" にしてください。その後、電源を "ON" にする必要があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、適切な対策済みバージョンにアップデートしてください。　* GOT2000 シリーズ GT21 モデル GT2107-WTBD V01.40.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2107-WTSD V01.40.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2104-RTBD V01.40.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2104-PMBD V01.40.000 およびそれ以降　* GOT2000 シリーズ GT21 モデル GT2103-PMBD V01.40.000 およびそれ以降　* GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD V01.40.000 およびそれ以降　* GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD V01.40.000 およびそれ以降　* GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD-N V01.40.000 およびそれ以降　* GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD-N V01.40.000 およびそれ以降 * LE7-40GU-L CC-Link IEF Basic 通信用画面パッケージデータ V1.01 およびそれ以降 * LE7-40GU-L MODBUS/TCP 通信用画面パッケージデータ V1.01 およびそれ以降 * LE7-40GU-L SLMP 通信用画面パッケージデータ V1.01 およびそれ以降 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減できます。　* 製品への接続は、信頼できるネットワークやホストからのアクセスに制限する詳しくは<a href="https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf" target="_blank">開発者が提供する情報</a>をご確認ください。
Publication Date	Dec. 3, 2020, midnight
Registration Date	Dec. 4, 2020, 12:40 p.m.
Last Update	Jan. 21, 2022, 2:32 p.m.

Affected System

三菱電機

GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD V01.39.00 およびそれ以前

GOT SIMPLE シリーズ GS21 モデル GS2107-WTBD-N V01.39.000 およびそれ以前

GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD V01.39.00 およびそれ以前

GOT SIMPLE シリーズ GS21 モデル GS2110-WTBD-N V01.39.000 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2103-PMBD V01.39.00 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2104-PMBD V01.39.00 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2104-RTBD V01.39.00 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2107-WTBD V01.39.00 およびそれ以前

GOT2000 シリーズ GT21 モデル GT2107-WTSD V01.39.00 およびそれ以前

LE7-40GU-L CC-Link IEF Basic 通信用画面パッケージデータ V1.00

LE7-40GU-L MODBUS/TCP 通信用画面パッケージデータ V1.00

LE7-40GU-L SLMP 通信用画面パッケージデータ V1.00

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5675	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5675

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-125	https://cwe.mitre.org/data/definitions/125.html

ベンダー情報

No	Name	URL
三菱電機株式会社
1	GOT及びテンションコントローラのTCP/IPスタックにおけるサービス拒否(DoS)の脆弱性	https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-017.pdf

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-20-343-02	https://us-cert.cisa.gov/ics/advisories/icsa-20-343-02
JVN
2	JVNVU#99277775	https://jvn.jp/vu/JVNVU99277775/

Change Log

No	Changed Details	Date of change
3	[2021年05月12日] 影響を受けるシステム：内容を更新対策：内容を更新	May 12, 2021, 10:09 a.m.
1	[2020年12月04日] 掲載	Dec. 4, 2020, 12:40 p.m.
2	[2020年12月11日] 参考情報：ICS-CERT ADVISORY (ICSA-20-343-02) を追加	Dec. 11, 2020, 2:12 p.m.
4	[2022年01月21日] 影響を受けるシステム：内容を更新対策：内容を更新	Jan. 21, 2022, 11:38 a.m.