2022 年 6 月 15 日をもちまして、本ウェブサイトは Internet Explorer のサポートを終了いたします。
他のブラウザーをご利用いただき、当社ウェブサイトでの最適な閲覧体験をお楽しみください。

製品サポート

セキュリティアドバイザリ

概要

ioLogik 2542-HSPAシリーズのコントローラ、I/O、およびIOxpress Configuration Utilityの脆弱性

  • アドバイザリーID: MPSA-190902
  • バージョン: V1.0
  • 公開日: 2019年9月25日
  • 参考:
    • CVE-2019-18238, CVE-2020-7003, CVE-2019-18242

MoxaのioLogik 2542-HSPAシリーズのコントローラ、I/O、およびIOxpress Configuration Utilityに複数の製品脆弱性が見つかりました。これを受け、Moxaはそれらの脆弱性に対処するための関連対策をリリースしました。

見つかった脆弱性の種類と潜在的な影響は以下の通りです。

項目 脆弱性の種類 影響
1 脆弱な暗号アルゴリズムの使用(CWE-310)、CVE-2018-18238 構成ファイルが暗号化されていなかったため、攻撃者がそのファイルを入手した場合、デバイス内の機密情報が漏えいする可能性があります。
2 機密情報の平文での保存および送信(CWE-312およびCWE-319)、CVE-2020-7003 構成ファイルが暗号化されていなかったため、攻撃者がそのファイルを入手した場合、デバイス内の機密情報が漏えいする可能性があります。
3 サービス拒否攻撃(CWE-400、CWE-941)、CVE-2019-18242 短時間のうちに頻繁かつ多数のリクエストがあった場合、Webサーバーの機能が停止する可能性があります。
影響を受ける製品およびソリューション

影響を受ける製品

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品シリーズ 影響を受けるバージョン
ioLogik 2500 シリーズ ファームウェアバージョン3.0以前
IOxpress Configuration Utility バージョン2.3.0以前

 

対処方法

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品シリーズ 対処方法
ioLogik 2500 シリーズ セキュリティパッチについては、Moxaのテクニカルサポート までお問い合わせください。
IOxpress Configuration Utility セキュリティパッチについては、Moxaのテクニカルサポート までお問い合わせください。

謝辞

Rostelecom-SolarのIlya Karpov氏とEvgeniy Druzhinin氏には、この脆弱性を報告し、製品のセキュリティ強化に向けて当社と協力し、お客様へのより良いサービスの提供を支援していただきました。この場をお借りして御礼申し上げます。

改訂履歴

バージョン 説明 公開日
1.0 最初の公開 2019年9月25日

関連製品

ioLogik 2500 シリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加