HMS Industrial Networks AB 製 eCatcher にスタックベースのバッファオーバーフローの脆弱性

【概要】

HMS Industrial Networks AB が提供する eCatcher は産業用 VPN クライアントです。
eCatcher にはスタックベースのバッファオーバーフローの脆弱性 (CWE-121) が存在します。

【CVSS による深刻度】 (CVSS とは?)
CVSS v3 による深刻度基本値: 9.6 (緊急) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高

【影響を受けるシステム】

HMS Industrial Networks AB

eCatcher 6.5.5 より前のバージョン

【想定される影響】

遠隔の第三者によって、デバイスをクラッシュされたり、管理者権限で任意のコードを実行されたりする可能性があります。

【対策】

[アップデートする]
開発者が提供する情報をもとに、バージョンを最新版にアップデートしてください。
開発者によると、本脆弱性は version6.5.5 以降で修正されているとのことです。

【ベンダ情報】

HMS Industrial Networks AB

EWON : Ewon Technical Support

HMS Security Advisory Report : HMS Security Advisory 2020-07-15-001 - Ewon eCatcher

【CWEによる脆弱性タイプ一覧】 CWEとは?
スタックベースのバッファオーバーフロー(CWE-121) [IPA評価]

【共通脆弱性識別子(CVE)】 CVEとは?

CVE-2020-14498

出典：JVN iPedia