MoxaのIIoTゲートウェイ「AIG-301シリーズ」の特定バージョンで既知の脆弱性 azure-uamqp に影響すると発表
2024年4月23日にMoxaのIIoTゲートウェイ「AIG-301シリーズ」で2024年1月に公表された、azure-uamqpの脆弱性を悪用される可能性があり、ファームウェアバージョンアップを告知しています
影響を受けるバージョン
| 製品シリーズ | 影響を受けるバージョン |
|---|---|
| AIG-301シリーズ | ファームウェアバージョン v1.5 以前のバージョン |
対策
バージョンv1.5.1以降へアップデート
対象の脆弱性
| 脆弱性の種類 | インパクト | |
|---|---|---|
| 1 | ダブルフリー(CWE-415)CVE-2024-27099 | 攻撃者は、誤った「AMQP_VALUE」失敗状態を処理し、二重解放問題を引き起こす可能性があります。これにより、RCE が発生する可能性があります。 |
| 2 | コード生成の不適切な制御 (「コード インジェクション」) (CWE-97)CVE-2024-25110 | 攻撃者は解放後の使用の問題を引き起こし、リモートでコードを実行する可能性があります。 |
| 3 | コード生成の不適切な制御 (「コード インジェクション」) (CWE-97)CVE-2024-21646 | 攻撃者はバイナリ型データを作成する可能性があります。整数のオーバーフロー、ラップアラウンド、またはメモリの安全性の問題が発生し、リモート コードが実行される可能性があります。 |
