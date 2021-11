米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月12日(米国時間)、「CISA Releases Advisory on Vulnerabilities in Multiple Data Distribution Service Implementations |CISA」において、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が複数のデータ配信サービス(DDS)の実装に見られる脆弱性に関するセキュリティアドバイザリをリリースしたと伝えた。

このアドバイザリでは、DDSで発見された13件の脆弱性の情報が含まれている。これらの脆弱性を悪用されると、攻撃者によって不正な値の書き込みやサービス運用妨害、情報漏洩、任意のリモートコード実行などといった被害を受ける可能性がある。

ICS Advisory (ICSA-21-315-02): Multiple Data Distribution Service (DDS) Implementations

このアドバイザリの対象となる製品としては次のものが挙げられている。

Eclipse CycloneDDS:0.8.0より前のすべてのバージョン

eProsima Fast DDS:2.4.0より前のすべてのバージョン

GurumNetworks GurumDDS:すべてのバージョン

Object Computing, Inc(OCI)OpenDDS:3.18.1より前のすべてのバージョン

Real-Time Innovations(RTI)Connext DDSProfessionalおよびConnextDDS Secure:バージョン4.2xから6.1.0

RTI Connext DDS Micro:バージョン3.0.0以降

TwinOaks Computing CoreDX DDS:5.9.1より前のすべてのバージョン

このアドバイザリには、次の13件の脆弱性に関するレポートが含まれている。脆弱性のいくつかは深刻度が「重要(Important)」に分類されており注意が必要。