公開日:2020/05/20 最終更新日:2020/05/20
JVNVU#92838573
Emerson 製 OpenEnterprise に複数の脆弱性
Emerson が提供する OpenEnterprise には複数の脆弱性が存在します。
- OpenEnterprise 3.3.4 およびそれ以前の全てのバージョン
OpenEnterprise は Emerson が提供する産業用 SCADA ソフトウエアです。OpenEnterprise には次の複数の脆弱性が存在します。
- 不適切な所有権管理 (CWE-282) - CVE-2020-10632
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値: 8.8 - 不十分な暗号強度 (CWE-326) - CVE-2020-10636
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 6.5 - 重要な機能に対する認証の欠如 (CWE-306) - CVE-2020-10640
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 10.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- システム内のフォルダに対するアクセス権限の設定に不備があり、ローカルの第三者により重要な設定ファイルが改ざんされ、システム障害や予期しない動作が発生する - CVE-2020-10632
- ローカルの第三者によって OpenEnterprise のユーザアカウントのパスワードを取得される - CVE-2020-10636
- 遠隔の第三者によって、システム権限で任意のコマンドを実行されたり、特定の通信経路を介して任意のコードを実行されたりする - CVE-2020-10640
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
ベンダ | リンク |
Emerson Electric Co. | Emerson SupportNet |
-
ICS Advisory (ICSA-20-140-02)
Emerson OpenEnterprise
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2020-10640 |
CVE-2020-10632 |
|
CVE-2020-10636 |
|
JVN iPedia |
|