2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

Armベースコンピュータにおける 不適切な権限管理の脆弱性

不適切な権限管理の脆弱性が悪用された場合、通常の権限を持つローカルユーザーが、影響を受けるデバイスへのroot権限を得るために設定を変更できる可能性があります。

確認された脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1

不適切な権限管理(CWE-269)

権限レベルが低いローカルユーザーがroot権限を得るために設定を変更する可能性があります。
影響を受ける製品およびソリューション

影響を受ける製品:

影響を受ける製品とシステムイメージバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
UC-8100A-ME-T シリーズ システムイメージ v1.0~v1.7
UC-2100 シリーズ システムイメージ v1.0~v1.13
UC-2100-W シリーズ システムイメージe v1.0~v1.13
UC-3100 シリーズ システムイメージ v1.0~v1.7
UC-5100 シリーズ システムイメージ v1.0~v1.5
UC-8100 シリーズ システムイメージ v3.0 to v3.6
UC-8100-ME-T シリーズ システムイメージ v3.0およびv3.2
UC-8200 シリーズ システムイメージ v1.0~v1.6
AIG-301 シリーズ システムイメージ v1.0~v1.4
UC-8410A シリーズ(Debian 9搭載) システムイメージ v4.0.2およびv4.2.2
UC-8580 シリーズ(Debian 9搭載) システムイメージ v2.0およびv2.2
UC-8540 シリーズ(Debian 9搭載) システムイメージ v2.0およびv2.2
DA-662C-16-LX シリーズ(GLB) システムイメージ v1.0.2~1.1.2

対処方法:

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品シリーズ 対処方法
UC and DA シリーズ

インターネットにアクセスできるデバイスの場合

  1. デバイスに接続し、Linuxシェルを使用してログインします。
  2. 以下のコマンドを順に入力し、影響を受けるソフトウェアコンポーネント(moxa-version)を更新します。
    1. sudo apt update
    2. sudo apt install --only-upgrade moxa-version

インターネットにアクセスできないデバイスの場合

  1. インターネットにアクセスできるコンピュータを使用して、https://debian.moxa.com/#debian/pool/main/m/moxa-version/のサイトからmoxa-version_1.4.0+deb9u1_armhf.debをダウンロードします。
  2. ダウンロードしたパッケージを、影響を受けるMoxaのArmベースコンピュータに移動します。
  3. コマンド「dpkg -i moxa-version_1.4.0+deb9u1_armhf.deb」を使用して、ダウンロードしたパッケージをインストールします。

セキュリティパッチの更新時に問題が発生した場合は、Moxaのテクニカルサポートまでご連絡ください。

AIG-301 シリーズ

ThingsPro Proxyの使用:

  1. MoxaのWebサイトから最新のThingsPro Proxyユーティリティをダウンロードし、お使いのパーソナルコンピュータにインストールします。
  2. ThingsPro Proxyのユーザーマニュアルの指示に従って、デバイスをアップグレードします。

Moxa DLM Serviceのプレビュープログラムに加入しているデバイスの場合

  1. Moxa DLM Serviceアカウントにログインします。
  2. [Repository – Software]に移動し、[AIG-301 security patch for IPV-220803]を適用します。

 

謝辞:

En Garde ICSRange研究チームのMikael Vingaard氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

 

改訂履歴:

バージョン 説明 公開日
1.0 最初の公開 2022年11月22日
1.1 影響を受ける UC シリーズ製品と対処方法の更新 2023年5月29日
1.2 AIG-300 を AIG-301 に変更 2023年7月14日

 

関連製品

AIG-301シリーズ · UC-2100-Wシリーズ · UC-2100シリーズ · UC-3100シリーズ · UC-5100シリーズ · UC-8100A-ME-Tシリーズ · UC-8100シリーズ · UC-8200シリーズ · UC-8410Aシリーズ · UC-8540シリーズ · UC-8580シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加