公開日:2010/08/05 最終更新日:2010/11/05

JVNVU#703189
Wonderware Archestra ConfigurationAccessComponent ActiveX コントロールにおけるバッファオーバーフローの脆弱性

概要

Wonderware Archestra ConfigurationAccessComponent ActiveX コントロールには、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • Wonderware Application Server 3.1 Service Pack 2 Patch 01 より前のバージョン

詳細情報

Wonderware Archestra IDE (Integrated Development Environment) および InFusion IEE (Integrated Engineering Environment) が使用している Wonderware Archestra ConfigurationAccessComponent ActiveX コントロールには、スタックバッファオーバーフローの脆弱性が存在します。

想定される影響

細工された HTML を閲覧することで、ユーザの権限で任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。

対策方法

アップデートする
ベンダが提供する情報をもとに最新版へアップデートしてください。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。

  • ActiveX コントロールを無効にする

ベンダ情報

ベンダ リンク
Invensys Invensys Operations Management Security Bulletin (LFSEC00000037)
Invensys Global Customer Support (要ユーザ登録)
Wonderware Wonderware Tech Alert 138 Security Vulnerability - Wonderware ArchestrA ConfigurationAccessComponent ActiveX Stack Overflow (LFSEC00000037)
Wonderware Personal Account Services (要ユーザ登録)

参考情報

  1. US-CERT Vulnerability Note VU#703189
    Invensys Wonderware Archestra ConfigurationAccessComponent ActiveX control stack buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2010-001891

更新履歴

2010/08/05
参考情報にリンクを追加しました。
2010/11/05
関連文書に JVN iPedia へのリンクを追加しました。