JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2023年11月10日、「JVNVU#93840158: 富士電機製複数製品における複数の脆弱性」において、富士電機の複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、細工されたファイルを開くことで情報漏洩や任意のコードが実行される可能性があるとされており注意が必要。
-
JVNVU#93840158: 富士電機製複数製品における複数の脆弱性
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。「TELLUS」「V-Sever」は、プログラマブル表示器「モニタッチ」の遠隔監視ソフトウェア。
- TELLUS V4.0.17.0およびこれ以前のバージョン
- TELLUS Lite V4.0.17.0およびこれ以前のバージョン(日本以外のリージョン製品)
- TELLUS Simulator V4.0.17.0およびこれ以前のバージョン
- V-Sever V4.0.18.0およびこれ以前のバージョン
- V-Sever Lite V4.0.18.0およびこれ以前のバージョン(日本以外のリージョン製品)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- TELLUS V4.0.19.0およびこれ以降のバージョン
- TELLUS Lite V4.0.19.0およびこれ以降のバージョン(日本以外のリージョン製品)
- TELLUS Simulator V4.0.19.0およびこれ以降のバージョン
- V-Sever V4.0.19.0およびこれ以降のバージョン
- V-Sever Lite V4.0.19.0およびこれ以降のバージョン(日本以外のリージョン製品)
今回修正された脆弱性の情報は次のとおり。
- CVE-2023-47580 - TELLUS、TELLUS Liteにおいてバッファ境界の外側を読み書きできる
- CVE-2023-47581 - TELLUS、TELLUS Liteにおいてバッファ境界の外側を読み込むことができる
- CVE-2023-47582 - TELLUS、TELLUS Liteにおいて初期化していないポインタへのアクセス
- CVE-2023-47583 - TELLUS Simulatorにおいてバッファ境界の外側を読み込むことができる
- CVE-2023-47584 - V-Sever、V-Sever Liteにおいてバッファ境界の外側に書き込むことができる
- CVE-2023-47585 - V-Sever、V-Sever Liteにおいてバッファ境界の外側を読み込むことができる
- CVE-2023-47586 - V-Sever、V-Sever Liteにおいてヒープオーバーフローの不具合
これら脆弱性の深刻度は重要(Important)とされており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
