JVNVU#93761221
複数のTrane製品におけるコードインジェクションの脆弱性

Trane社が提供する複数の製品には、コードインジェクションの脆弱性が存在します。

CVE-2021-38448

• Symbio 700
  • Odyssey Split Systems v1.00.0023より前のすべてのバージョン
• Symbio 800
  • IntelliPak Rooftop Air Conditioner v1.30.0008より前のすべてのバージョン
  • Ascend Air-Cooled Chiller Model ACR v1.10.0010より前のすべてのバージョン
  • Agility Water-Cooled Chiller Model HDWA v1.00.0010より前のすべてのバージョン

• Tracer SC v4.4 SP7より前のすべてのバージョン
• Tracer SC+ v5.3 SP3より前のすべてのバージョン
• Tracer Concierge v5.3 SP3より前のすべてのバージョン

Trane社が提供する複数のTraneビルディングオートメーション製品には、次の複数の脆弱性が存在します。

• コードインジェクション（CWE-94） - CVE-2021-38448

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H

  基本値: 7.5

• コードインジェクション（CWE-94） - CVE-2021-38450

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H

  基本値: 9.9

遠隔の第三者によって、細工したコードを実行された場合、当該ソフトウェアのコントローラーフローを変更される可能性があります。

アップデートする
Trane社の担当部門に連絡し、以下の対策済みファームウェアにアップデートしてください。Trane社への連絡についてはTraneサービスデータベース番号「HUB-205962」を参照してください。

• CVE-2021-38448
  • Symbio 700
    • Odyssey Split Systems：v1.00.0023およびそれ以降のバージョン
  • Symbio 800
    • IntelliPak Rooftop Air Conditioner v1.30.0008およびそれ以降のバージョン
    • Ascend Air-Cooled Chiller Model ACR v1.10.0010およびそれ以降のバージョン
    • Agility Water-Cooled Chiller Model HDWA v1.00.0010およびそれ以降のバージョン
• CVE-2021-38450
  • Tracer SC：v4.4 SP7および以降のバージョン
    Trane社によるとTracer SCは2022年12月31日に保守終了となるため、Tracer SC+への移行を推奨とのことです。
  • Tracer SC+：v5.5 SP3および以降のバージョン
  • Tracer Concierge：v5.5 SP3および以降のバージョン

• コントローラへの物理的なアクセスは、訓練を受けた信頼できる担当者だけに制限する
• 遠隔操作が必要な場合は、Trane Connect Remote Accessなどの安全なリモートアクセスソリューションを使用する
• 強力なパスワードなどのベストプラクティスに従った資格情報を設定し、ユーザ本人以外に共有されていないことを確認する
• 定期的なソフトウェア／ファームウェアの更新プロセスを文書化し、責任者を定め、システムを最新状態に維持する