製品サポート

セキュリティアドバイザリ

概要

Sudoヒープベースのバッファオーバーフロー脆弱性(CVE-2021-3156)に関するMoxaの対応

Sudoは、多くのLinuxベースのオペレーティングシステムにあるユーティリティであり、ユーザーが別のユーザーのセキュリティ権限でプログラムを実行できるようにします。ヒープベースのバッファオーバーフローの脆弱性が、Sudoバージョン1.8.2~1.8.31p2、および1.9.0~1.9.5p1で発見されました。攻撃者はこの脆弱性を悪用して、影響を受けるシステムをコントロールする可能性があります。

Moxaのサイバーセキュリティ対策チーム(CSRT)はこの問題に全力で取り組み、適切な措置を講じています。この脆弱性の状況やMoxa製品への影響に何らかの更新があった場合は、最新情報を速やかにご提供します。

影響を受ける製品およびソリューション

影響を受ける製品:

影響を受ける製品とファームウェアバージョンは以下の通りです。

製品カテゴリ 製品シリーズ 影響を受けるバージョン
Armベースコンピュータ UC-2100シリーズ Moxa Industrial Linux v1.0
UC-2100-Wシリーズ Moxa Industrial Linux v1.0
UC-3100シリーズ Moxa Industrial Linux v1.0
UC-5100シリーズ Moxa Industrial Linux v1.0
UC-8100シリーズ Moxa Industrial Linux v1.0
UC-8100A-ME-Tシリーズ Moxa Industrial Linux v1.0
UC-8100-ME-Tシリーズ Debian 8.x
UC-8100-ME-Tシリーズ Moxa Industrial Linux v1.0
UC-8200 Series Moxa Industrial Linux v1.0
UC-8410A Series Debian 8.x
UC-8410Aシリーズ Moxa Industrial Linux v1.0
UC-8540シリーズ Debian 8.x
UC-8580シリーズ Moxa Industrial Linux v1.0
x86コンピュータ MC-1100シリーズ Debian 8.x
MC-1100シリーズ Debian 9.x
MC-1200シリーズ Debian 9.x
V2201シリーズ Debian 9.x
V2403シリーズ Debian 9.x
V2406Aシリーズ Debian 8.x
V2406Cシリーズ Debian 7.x
V2416Aシリーズ Debian 9.x
V2426Aシリーズ Debian 7.x
V2616Aシリーズ Debian 7.x
DA-681Cシリーズ Debian 7.x
DA-681Aシリーズ Debian 9.x
DA-682Cシリーズ Debian 8.x
DA-720シリーズ Debian 9.x
DA-820Cシリーズ Debian 8.x
パネルコンピュータ およびディスプレイ MPC-2070シリーズ Debian 9.x
MPC-2101シリーズ Debian 9.x
MPC-2120シリーズ Debian 9.x
MPC-2121シリーズ Debian 9.x
コントローラおよびI/O    ioThinx 4530シリーズ ファームウェアバージョン1.3以前

 

対処方法:

Moxaが提供するこの脆弱性の影響を受ける製品への対策は以下の通りです。

製品カテゴリ 製品シリーズ 対処方法
Armベースコンピュータ UC-2100シリーズ Debian 8.xバージョンのファームウェアの場合、以下の手順に従ってSUDOパッケージをバージョン1.8.10p3-1+deb8u8にアップグレードします。
Debian 9.xバージョンまたはMoxa Industrial Linux (MIL)バージョンのファームウェアの場合、以下の手順に従ってSUDOパッケージをバージョン1.8.19p1-2.1+deb9u3にアップグレードします。
 
対処方法1:Moxa Debianリポジトリからパッケージをアップグレードする
   
    ステップ1. apt情報を更新します
root@Linux:~$ apt-get update
   
    ステップ2. SUDOパッケージをインストールします
root@Linux:~$ apt-get install sudo
 
  • 注意:debian.moxa.comリポジトリはシステムに構成済みです。そのリポジトリにうまくアクセスできないときは、Moxa Debianリポジトリがaptソースリストにあるかどうか確認してください。
          viエディターでmoxa.source.listを開きます。
root@Linux:~$ vi /etc/apt/sources.list.d/moxa.sources.list
          もし、Moxa Debianリポジトリがそこになければ、下記のラインをmoxa.source.listに追加します。
          - Debian 8.xのとき、
             deb http://debian.moxa.com/debian jessie main
          - Debian 9.x、またはMILのとき、
            deb http://debian.moxa.com/debian stretch main
 
対処方法2:Moxa Debianリポジトリからファイルをダウンロードしてから、debファイルをデバイスにアップロードして(USB、SD、SCPなどを介して)アップデートを実行します。
   
    ステップ1. Sudoの最新のdebファイルをダウンロードします。
        Debian 8.x amd64システム:ここからダウンロード
        Debian 8.x armhfシステム:ここからダウンロード
        Debian 9.x、またはMIL armhfシステム:ここからダウンロード
        Debian 9.x、またはMIL amd64システム:ここからダウンロード

    ステップ2. USB/SDカードやSCPコマンドなどを介して、デバイスにdebファイルをアップロードします。
   
    ステップ3. dpkg -iコマンドを使い、debファイルをインストールします。
root@Linux:~$ dpkg -i <deb file name>
          例:
root@Linux:~$ dpkg -i sudo_1.8.19p1-2.1+deb9u3_armhf.deb

Debian 7.xバージョンのファームウェアの場合、Debianコミュニティによる長期サポート(LTS: Long-term Support)が2018年5月31日に終了したため、パッチは利用できません。
Debian 8.xバージョンのファームウェアの場合、DebianコミュニティによるLTSが2020年6月30日に終了したため、パッチは将来利用できなくなります。
リスクを軽減するため、許可されていないユーザーがデバイスにアクセスできないようにしてください。Debian 9(Stretch)またはDebian 10(buster)にアップグレードすることもお勧めします。
UC-2100-Wシリーズ
UC-3100 シリーズ
UC-5100 シリーズ
UC-8100 シリーズ
UC-8100A-ME-T シリーズ
UC-8100-ME-T シリーズ
UC-8100-ME-T シリーズ
UC-8200 シリーズ
UC-8410A シリーズ
UC-8410A シリーズ
UC-8540 シリーズ
UC-8580 シリーズ
x86コンピュータ MC-1100 シリーズ
MC-1100 シリーズ
MC-1200 シリーズ
V2201 シリーズ
V2403 シリーズ
V2406A シリーズ
V2406C シリーズ
V2416A シリーズ
V2426A シリーズ
V2616A シリーズ
DA-681C シリーズ
DA-681A シリーズ
DA-682C シリーズ
DA-720 シリーズ
DA-820C シリーズ
パネルコンピュータおよびディスプレイ MPC-2070 シリーズ
MPC-2101 シリーズ
MPC-2120 シリーズ
MPC-2121 シリーズ
コントローラおよびI/O   ioThinx 4530 シリーズ

 

改訂履歴:

 

バージョン 説明 公開日
1.0 最初の公開 2021年2月17日

関連製品

DA-681Aシリーズ · DA-681Cシリーズ · DA-682Cシリーズ · DA-720シリーズ · DA-820Cシリーズ · ioThinx 4530シリーズ · MC-1100シリーズ · MC-1200シリーズ · MPC-2070シリーズ · MPC-2101シリーズ · MPC-2120シリーズ · MPC-2121シリーズ · UC-2100-Wシリーズ · UC-2100シリーズ · UC-3100シリーズ · UC-5100シリーズ · UC-8100A-ME-Tシリーズ · UC-8100-ME-Tシリーズ · UC-8100シリーズ · UC-8200シリーズ · UC-8410Aシリーズ · UC-8540シリーズ · UC-8580シリーズ · V2201シリーズ · V2403シリーズ · V2406Aシリーズ · V2406Cシリーズ · V2416Aシリーズ · V2426Aシリーズ · V2616Aシリーズ ·

  •   このページを印刷
  • My Moxaで保存したリストを管理および共有できます。
それを修正しましょう

潜在的なサイバーセキュリティの脆弱性について懸念がある場合は、弊社までご連絡ください。テクニカルサポートスタッフがご連絡いたします。

脆弱性を報告する
バッグに追加