公開日:2022/04/25 最終更新日:2022/04/25
JVNVU#93772356
Hitachi Energy製MicroSCADA Pro/X SYS600における複数の脆弱性
Hitachi Energyが提供するMicroSCADA Pro/X SYS600には、複数の脆弱性が存在します。
OpenSSL脆弱性:CVE-2020-1968
- SYS600 10.1.1およびそれ以前のバージョン
- SYS600 9.4 FP1から10.2.1までのバージョン
- SYS600 10.0.0から10.2.1までのバージョン
Hitachi Energyが提供するMicroSCADA Pro/X SYS600には、次の複数の脆弱性が存在します。
- セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい (CWE-203) - CVE-2020-1968
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 3.7 - HTTP リクエストスマグリング (CWE-444) - CVE-2020-8265
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1 - HTTP リクエストスマグリング (CWE-444) - CVE-2020-8287
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 6.5 - HTTP リクエストスマグリング (CWE-444) - CVE-2020-8201
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 7.4 - コピー元データのサイズ確認不備に起因するバッファーオーバーフロー (CWE-120) - CVE-2020-8252
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8 - 証明書検証検証不備 (CWE-295) - CVE-2020-8172
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 7.4 - バッファーオーバーフロー (CWE-119) - CVE-2020-8174
CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1 - バッファーオーバーフロー (CWE-119) - CVE-2021-32027
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8 - 認可されていない対象への機微な情報の漏えい (CWE-200) - CVE-2021-32028
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、TLS接続における暗号化された通信を盗聴される - CVE-2020-1968
- 遠隔の第三者によって、サービス運用妨害(DoS)状態にされる - CVE-2020-8265
- 遠隔の第三者によって、ユーザセッションの乗っ取りやCookieの改ざんなどが行われる - CVE-2020-8201
- ユーザによって、メモリを破損される - CVE-2020-8252
- 遠隔の第三者によって、ホスト証明書の検証がバイパスされる - CVE-2020-8172
- 遠隔の第三者によって、メモリを破損される - CVE-2020-8174
- ユーザによって、サーバメモリに大量のデータを書き込まれる - CVE-2021-32027
- ユーザによって、サーバメモリを読み取られる - CVE-2021-32028
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
