公開日:2021/06/30 最終更新日:2021/07/29
JVNVU#90207343
AVEVA 製 AVEVA System Platform における複数の脆弱性
AVEVA 社が提供する AVEVA System Platform には、複数の脆弱性が存在します。
- AVEVA System Platform バージョン 2017 から 2020 R2 P01 まで
AVEVA 社が提供する AVEVA System Platform には、次の複数の脆弱性が存在します。
- 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33008
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.0 - 例外を処理していない問題 (CWE-248) - CVE-2021-33010
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5 - パス・トラバーサル (CWE-22) - CVE-2021-32981
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2 - 同一生成元ポリシー違反 (CWE-346) - CVE-2021-32985
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2 - デジタル署名の不適切な検証 (CWE-347) - CVE-2021-32977
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値: 7.2
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 隣接するネットワーク上の第三者によって、システム権限で任意のコードを実行される - CVE-2021-33008
- 遠隔の第三者によって、サービス運用妨害 (DoS) 状態にされる - CVE-2021-33010
- アクセス制限されたディレクトリ配下のファイルまたはディレクトリを指定する入力値に対して、適切な処理を実施していないため遠隔の第三者によって、アクセス制限されたディレクトリの外にアクセスされる - CVE-2021-32981
- データまたは通信元が有効であることを適切に検証しない - CVE-2021-32985
- データのデジタル署名を検証しない、または誤って検証する - CVE-2021-32977
アップデートする
開発者が提供する情報をもとに、製品を AVEVA Communication Drivers Pack 2020 R2.1 へアップデートしてください。
ただし、System Platform 2017 U3 SP1 P01 を使用している場合は、まず AVEVA Communication Drivers Pack 2020 R2 へアップデートした後に、AVEVA Communication Drivers Pack 2020 R2.1 を適用する必要があります。
詳細は、SECURITY BULLETIN AVEVA-2021-002 を確認してください。
ワークアラウンドを実施する
開発者によると、AutoBuild サービスを無効にすることで本脆弱性の影響を回避可能とのことです。
AutoBuild の機能は設定時に GR ノードで用いることを目的としているものなので、AutoBuild サービスがランタイムノードで有効化されている場合、これを無効化する必要があります。
ベンダ | リンク |
AVEVA Software | SECURITY BULLETIN AVEVA-2021-002 |
-
ICS Advisory (ICSA-21-180-05)
AVEVA System Platform
- 2021/07/29
- [詳細情報]および[想定される影響]を修正しました。