JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2023年11月10日、「JVNVU#93840158: 富士電機製複数製品における複数の脆弱性」において、富士電機の複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、細工されたファイルを開くことで情報漏洩や任意のコードが実行される可能性があるとされており注意が必要。

  • JVNVU#93840158: 富士電機製複数製品における複数の脆弱性

    JVNVU#93840158: 富士電機製複数製品における複数の脆弱性

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。「TELLUS」「V-Sever」は、プログラマブル表示器「モニタッチ」の遠隔監視ソフトウェア。

  • TELLUS V4.0.17.0およびこれ以前のバージョン
  • TELLUS Lite V4.0.17.0およびこれ以前のバージョン(日本以外のリージョン製品)
  • TELLUS Simulator V4.0.17.0およびこれ以前のバージョン
  • V-Sever V4.0.18.0およびこれ以前のバージョン
  • V-Sever Lite V4.0.18.0およびこれ以前のバージョン(日本以外のリージョン製品)

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • TELLUS V4.0.19.0およびこれ以降のバージョン
  • TELLUS Lite V4.0.19.0およびこれ以降のバージョン(日本以外のリージョン製品)
  • TELLUS Simulator V4.0.19.0およびこれ以降のバージョン
  • V-Sever V4.0.19.0およびこれ以降のバージョン
  • V-Sever Lite V4.0.19.0およびこれ以降のバージョン(日本以外のリージョン製品)

今回修正された脆弱性の情報は次のとおり。

  • CVE-2023-47580 - TELLUS、TELLUS Liteにおいてバッファ境界の外側を読み書きできる
  • CVE-2023-47581 - TELLUS、TELLUS Liteにおいてバッファ境界の外側を読み込むことができる
  • CVE-2023-47582 - TELLUS、TELLUS Liteにおいて初期化していないポインタへのアクセス
  • CVE-2023-47583 - TELLUS Simulatorにおいてバッファ境界の外側を読み込むことができる
  • CVE-2023-47584 - V-Sever、V-Sever Liteにおいてバッファ境界の外側に書き込むことができる
  • CVE-2023-47585 - V-Sever、V-Sever Liteにおいてバッファ境界の外側を読み込むことができる
  • CVE-2023-47586 - V-Sever、V-Sever Liteにおいてヒープオーバーフローの不具合

これら脆弱性の深刻度は重要(Important)とされており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。