概要
OPC Foundationは、自社が保守または配布するソフトウェアに影響を与えるセキュリティ情報を公表しています。多くの場合、これらの勧告はOPCベンダーが自社製品に組み込むコードに影響します。その結果、ベンダーは特定された脆弱性に対処するため、自社製品にパッチを適用する必要があります。
脆弱性やセキュリティに関する懸念は、’securityteam AT opcfoundation DOT org’までご報告ください。
機密性の高いセキュリティレポートを暗号化するためのPGPキーは、こちらで入手できます。
プロセス
問題が報告されると、OPC Foundation はCommon Vulnerability Scoring System を使用して脆弱性を評価し、MITRE に CVE 番号を要求します。ベンダーは、製品のアップデートを公開する際に CVE 番号を使用することが推奨されます。これにより、ユーザは製品のパッチとOPC Foundation によって報告された脆弱性を関連付けることができます。
脆弱性が報告されると、まずOPC UAセキュリティWGで検討され、最適な対策が決定されます。SDKベンダーのメーリングリストには、SDKベンダー側の対応が必要となる問題が報告された旨の通知が送られます。なぜなら、多くのOPC製品はSDKで構築されており、脆弱性に対処するにはまずSDKをアップデートする必要があるからです。脆弱性が公表される前に通知を希望するメンバーは、OPC Foundation 、UAセキュリティWGへの参加リクエストを送信してください。
レビュー後、セキュリティWGは、脆弱性を公表するためのタイムラインを設定する。時間軸は、脆弱性の深刻度と、SDKベンダーが自社製品用のパッチを作成するのに必要な時間に依存します。脆弱性が公開されると、更新されたソフトウェアがどこで入手できるかの詳細とともに、このページに掲載されます。新しいセキュリティ情報が公開された際に通知を受け取りたい一般の方は、OPCセキュリティ情報Googleグループにご参加ください。
脆弱性が公表されると、OPC Foundation がMITRE に通知する。つまり、MITRE のデータベースで公開されることになる。NISTも自動的にCVEをデータベースに追加する。
| Date | Number | Title | Rating |
|---|---|---|---|
| 02/09/2025 | CVE-2024-42513 | Security Update for the OPC UA .NET Standard Stack | 6.5 (Medium) |
| 02/09/2025 | CVE-2024-42512 | Security Update for the OPC UA .NET Standard Stack | 5.9 (Medium) |
| 10/15/2024 | CVE-2024-45526 | Security Update for the OPC UA .NET Standard Stack | 5.3 (Medium) |
| 7/01/2024 | CVE-2024-33862 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 5/15/2023 | CVE-2023-32787 | Security Update for the OPC UA Legacy Java Stack | 7.5 (high) |
| 5/3/2023 | CVE-2023-31048 | Security Update for the OPC UA .NET Standard Reference Server | 5.3 (medium) |
| 5/3/2023 | CVE-2023-27321 | Security Update for the OPC UA .NET Standard Reference Server | 7.5 (high) |
| 11/17/2022 | CVE-2022-44725 | Security Security Update for Local Discovery Server (LDS) | 7.8 (high) |
| 8/1/2022 | CVE-2022-33916 | Security Update for the OPC UA .NET Standard Reference Server | 5.3 (medium) |
| 7/15/2022 | CVE-2022-29866 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 6/15/2022 | CVE-2022-29862 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 6/15/2022 | CVE-2022-29863 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 6/15/2022 | CVE-2022-29864 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 6/15/2022 | CVE-2022-29865 | Security Update for the OPC UA .NET Standard Stack | 6.5 (medium) |
| 5/23/2022 | CVE-2022-30551 | Security Update for the OPC UA Legacy Java Stack | 7.5 (high) |
| 3/1/2022 | CVE-2021-45117 | Security Update for Autogenerated ANSI C Stack Stubs | 6.0 (medium) |
| 9/1/2021 | CVE-2021-40142 | Security Update for Local Discovery Server (LDS) | 7.5 (high) |
| 5/18/2021 | CVE-2021-27432 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 5/18/2021 | CVE-2021-27434 | Security Update for OPC UA Applications using .NET 4.5.1 or earlier | 7.2 (high) |
| 3/10/2021 | CVE-2020-29457 | Security Update for the OPC UA .NET Standard Stack | 4.2 (medium) |
| 4/15/2020 | CVE-2020-8867 | Security Update for the OPC UA .NET Standard Stack | 7.5 (high) |
| 3/10/2020 | CVE-2019-19135 | Security Update for the OPC UA .NET and Java Clients | 7.5 (high) |
| 9/25/2018 | CVE-2018-12087 | Security Update for the OPC UA Client Applications | 5.3 (medium) |
| 9/12/2018 | CVE-2018-12086 | Security Update for the OPC UA Stacks | 7.5 (high) |
| 9/12/2018 | CVE-2018-12585 | Security Update for the OPC UA Java and .NET Stack | 8.2 (high) |
| 4/12/2018 | CVE-2018-7559 | Security Update for the OPC UA Stacks | 5.3 (medium) |
| 12/6/2017 | CVE-2017-17443 | Security Update for Local Discovery Services (LDS) | 4.4 (medium) |
| 7/31/2017 | CVE-2017-12070 | Security Update for OPC UA .NET Sample Applications | 4.9 (medium) |
| 7/31/2017 | CVE-2017-12069 | Security Update for the OPC UA .NET Sample Code | 8.2 (high) |
| 7/28/2017 | CVE-2017-11672 | Security Update for Local Discovery Services (LDS) | 4.4 (medium) |