独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8月31日、複数の三菱電機製品のTCPプロトコルスタックに存在するセッション管理不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。シーケンサ MELSEC の複数シリーズ表示器 GOT の複数シリーズインバータ FREQROL の複数シリーズロボット MELFA の複数シリーズAC サーボ MELSERVO の複数シリーズ三菱省エネデマンド監視サーバ E-Energy の複数シリーズデータ収集アナライザ MELQIC IU1-1M20-D 全バージョンテンションコントローラ LE7-40GU-L 全バージョン想定される影響としては、第三者による正規の機器へのなりすましが行われ任意のコマンドを実行された結果、情報漏えいや情報の改ざんなどが行われる可能性がある。JVNでは、アップデートが提供されている製品シリーズおよびバージョンに関してはアップデートを適用し、対策バージョンがリリースされていない、またはアップデートを適用できない場合には、当該製品をインターネットに接続する場合にはファイアウォールや仮想プライベートネットワーク(VPN)などを使用すること、当該製品の使用はLAN内に限定し信頼できなネットワークやホストからのアクセスを制限すること、該当製品へアクセス可能なパソコンにウイルス対策ソフトを搭載する等の回避策を適用し本脆弱性の影響を軽減するよう呼びかけている。
Microsoft Windows の Print Spooler サービスにおけるシンボリックリンク検証不備により管理者権限で任意のファイルが作成可能となる脆弱性(Scan Tech Report)2020.8.27 Thu 8:10
![パッチリリースから1ヶ月後適用でも侵害ケース有り、調査も併せて実施推奨 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/32080.jpg)
