JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月14日、「JVNVU#98588994: OPC 製品における複数の脆弱性」において、OPC Foundation OPC UAおよびOPC Foundation Unified Automationに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によってスタックオーバーフローを引き起こされたり、機密情報を窃取されたりするおそれがあるとされている。
脆弱性に関する情報は次のページにまとまっている。
- Release OPC UA 1.04 Maintenance Update · OPCFoundation/UA-.NETStandard
- OPC UA Development - Unified Automation
- OPC Foundation UA Products Built with .NET Framework | CISA
- OPC UA Products Built with the .NET Framework 4.5, 4.0, and 3.5 | CISA
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。JPCERT/C)は開発者の提供する情報にもとづいてアップデートを適用することを推奨している。
- OPC Foundation OPC UA .NET Standard 1.4.365.48より前のバージョン
- OPC Foundation OPC UA .NET Legacy
- OPC Foundation Unified Automation .NETベースOPC UAクライアント / サーバSDKバンドル3.0.7およびそれより前のバージョン(.NET 4.5、4.0、3.5 Frameworkバージョンのみ)
-
Release OPC UA 1.04 Maintenance Update · OPCFoundation/UA-.NETStandard
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
