公開日:2020/09/30 最終更新日:2020/09/30
JVNVU#92593614
B&R Industrial Automation 製 SiteManager および GateManager に複数の脆弱性
B&R Industrial Automation 製 SiteManager および GateManager には複数の脆弱性が存在します。
- SiteManager
- v9.2.620236042 より前のすべてのバージョン
- GateManager 4260 および 9250
- v9.0.20262 より前のすべてのバージョン
- GateManager 8250
- v9.2.620236042 より前のすべてのバージョン
SiteManager および GateManager は B&R Industrial Automation 社が提供する産業用システムの遠隔管理ソフトウェアです。
SiteManager および GateManager には次の複数の脆弱性が存在します。
- SiteManager におけるパストラバーサル (CWE-22) - CVE-2020-11641
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 7.7 - SiteManager におけるリソースの枯渇 (CWE-400) - CVE-2020-11642
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H 基本値: 7.7 - 情報漏えい (CWE-200) - CVE-2020-11643
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - 不適切な認証 (CWE-287) - CVE-2020-11644
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N 基本値: 6.5 - GateManager におけるリソースの枯渇 (CWE-400) - CVE-2020-11645
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5 - 情報漏えい (CWE-200) - CVE-2020-11646
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3
想定される影響は各脆弱性により異なりますが、認証された遠隔の第三者によって、次のような影響を受ける可能性があります。
- SiteManager のサービス構成や機微な情報を窃取される - CVE-2020-11641
- SiteManager を繰り返し再起動させられる - CVE-2020-11642
- 外部組織のデバイス情報を窃取される - CVE-2020-11643
- 架空の audit メッセージや警告によって外部ドメインユーザをだます - CVE-2020-11644
- GateManager を繰り返し再起動させられる - CVE-2020-11645
- 内部ドメインのすべてのデバイスに関する情報を窃取される - CVE-2020-11646
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- SiteManager
- v9.2.620236042
- GateManager 4260 および 9250
- v9.0.20262
- GateManager 8250
- v9.2.620236042
| ベンダ | リンク |
| B&R Industrial Automation | Cyber Security |
| リモート・メンテナンス |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-11641 |
|
CVE-2020-11642 |
|
|
CVE-2020-11643 |
|
|
CVE-2020-11644 |
|
|
CVE-2020-11645 |
|
|
CVE-2020-11646 |
|
| JVN iPedia |
|
