重要情報 バグ詳細 バグ番号: VDE-2024-050 公開日: 2024-08-27 10:00 (CEST) 最終更新日: 2024-08-27 08:57 (CEST) ベンダー: Beckhoff Automation GmbH & Co. KG 影響を受ける製品: - MDPパッケージ(バージョン < 1.2.7.0) - TwinCAT/BSD(バージョン < 14.1.2.0_153968) 詳細 脆弱性の種類: スタックベースのバッファオーバーフロー (CWE-121) 説明: TwinCAT/BSD に含まれる MDPパッケージにおいて、認証済みローカル攻撃者が悪意のあるHTTPリクエストを送信することで、ユーザー「root」の権限でサービス拒否(DoS)やコード実行を引き起こす可能性があります。 影響 影響: ローカル攻撃者は、悪意のあるHTTPリクエストを送信することで、ユーザー「root」の権限でサービス拒否やコード実行を引き起こす可能性があります。 解決策 緩和策: 管理者アクセス以外のログイン権限を持つユーザーアカウントがターゲット上に存在しないようにしてください。TwinCAT/BSD はデフォルトで権限の低いユーザーアカウントが事前設定されていますが、これらにはパスワードが設定されていないため、ログインアクセスは拒否されています。ターゲット上で誰が実行しているかを問わず、十分に監査されていないサードパーティアプリケーションの実行を避けてください。 修正推奨事項: 影響を受ける製品を最新バージョンに更新してください。ベックホフは、個々のパッケージではなく、TwinCAT/BSD 全体を最新バージョンに更新することを推奨しています。既存の TwinCAT/BSD インストールを更新する方法については、こちらを参照してください。OS のバージョンはコマンドラインで確認することもできます。この情報は Beckhoff Device Manager UI でも確認可能です。 注意: TwinCAT/BSD のメジャーバージョン 12 から更新する場合は、2回の連続したアップグレードが必要です。 報告者 報告者: CERT@VDE 調整および Beckhoff 報告者: Nozomi Networks の Andrea Palanca その他の情報 CVE 番号: CVE-2024-41176 重大度: 6.5 (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L) 最終更新: 2024-08-22, 9:35 a.m. 影響を受けるバージョン: MDPパッケージ(バージョン < 1.2.7.0)、TwinCAT/BSD(バージョン < 14.1.2.0_153968)