公開日:2021/08/20 最終更新日:2021/08/20

JVNVU#92695780
AVEVA製SuiteLink Serverにおける複数の脆弱性

概要

AVEVA社が提供するSuiteLink Serverには、複数の脆弱性が存在します。

影響を受けるシステム

AVEVA社によると、SuiteLink Serverを搭載する次の製品が本脆弱性の影響を受けるとのことです。

  • AVEVA System Platform 2020 R2 P01およびそれ以前のすべてのバージョン
  • AVEVA InTouch 2020 R2 P01およびそれ以前のすべてのバージョン
  • AVEVA Historian 2020 R2 P01およびそれ以前のすべてのバージョン
  • AVEVA Communication Drivers Pack 2020 R2およびそれ以前のすべてのバージョン
  • AVEVA Operations Integration Core 3.0およびそれ以前のすべてのバージョン
  • AVEVA Data Acquisition Serversすべてのバージョン
  • AVEVA Batch Management 2020およびそれ以前のすべてのバージョン
  • AVEVA MES 2014 R2およびそれ以前のすべてのバージョン

詳細情報

AVEVA社が提供するSuiteLink Serverには、次の複数の脆弱性が存在します。

  • ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-32959
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1
  • NULLポインタ参照 (CWE-476) - CVE-2021-32963、CVE-2021-32971、CVE-2021-32979、CVE-2021-32987
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 例外条件の不適切な処理 (CWE-755) - CVE-2021-32999
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、 遠隔の第三者によって特定のコマンド処理を実行されると、次のような影響を受ける可能性があります。

  • 任意のコードを実行されたり、サービス運用妨害(DoS)状態にされる - CVE-2021-32959
  • サービス運用妨害(DoS)状態にされる - CVE-2021-32963、CVE-2021-32971、CVE-2021-32979、CVE-2021-32987、CVE-2021-32999

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
詳細は、開発者が提供するセキュリティアドバイザリを確認してください。

ベンダ情報

ベンダ リンク
AVEVA SECURITY BULLETIN AVEVA-2021-003

参考情報

  1. ICS Advisory (ICSA-21-231-01)
    AVEVA SuiteLink Server

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia