公開日:2024/07/10 最終更新日:2024/07/10

JVNVU#95751016
複数のJohnson Controls製品における複数の脆弱性

概要

Johnson Controlsが提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2024-32753

  • Illustra Pro Gen 4 Camera バージョンSS016.05.03.01.0010およびそれ以前
CVE-2024-32759
  • Software House C●CURE 9000 バージョン2.80およびそれ以前
CVE-2024-32861
  • Software House C●CURE 9000 Site Server バージョン3.00.3およびそれ以前

詳細情報

Johnson Controlsが提供する複数の製品には、次の複数の脆弱性が存在します。

  • 脆弱なサードパーティ製コンポーネントへの依存(CWE1395)-CVE-2024-32753
  • 脆弱な認証情報の使用(CWE-1391)-CVE-2024-32759
  • インストール時の不適切なファイルアクセス権設定(CWE-276)-CVE-2024-32861

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該デバイスの機密性や完全性が侵害される(CVE-2024-32753)
  • 管理者権限を取得される(CVE-2024-32759)
  • 認証情報にアクセスされる(CVE-2024-32861)

対策方法

CVE-2024-32753、CVE-2024-32759
アップデートする
開発者は、以下バージョンへのアップデートを推奨しています。

  • Illustra Pro Gen 4 camera バージョンSS016.24.03.00.0007
  • Software House C●CURE 9000 バージョン2.90

CVE-2024-32861
ワークアラウンドを実施する
開発者は、以下ワークアラウンドの適用を推奨しています。
  • 管理者以外のユーザに対して、当該製品のC:\CouchDB\binフォルダーの書き込み権限を削除する
詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Johnson Controls Inc. Security Advisories | Johnson Controls

参考情報

  1. ICS Advisory | ICSA-24-191-03
    Johnson Controls Illustra Pro Gen 4
  2. ICS Advisory | ICSA-24-191-04
    Johnson Controls Software House C●CURE 9000
  3. ICS Advisory | ICSA-24-191-05
    Johnson Controls Software House C●CURE 9000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia