公開日:2024/05/15 最終更新日:2024/05/15

JVNVU#98785365
Johnson Controls製Software House C•CURE 9000におけるログファイルからの情報漏えいの脆弱性

概要

Johnson Controlsが提供するSoftware House C•CURE 9000には、ログファイルからの情報漏えいの脆弱性が存在します。

影響を受けるシステム

  • Software House C•CURE 9000 v3.00.2

詳細情報

Johnson Controlsが提供するSoftware House C•CURE 9000には、次の脆弱性が存在します。

  • ログファイルからの情報漏えい(CWE-532)-CVE-2024-0912

想定される影響

特定の状況下において、C●CURE 9000のWebサーバーをホストするために使用するMicrosoft Internet Information Server(IIS)が、Microsoft Windowsの認証情報をログに記録する可能性があります。

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
Johnson Controls JCI-PSA-2024-04(PDF)

参考情報

  1. ICS Advisory | ICSA-24-135-03
    Johnson Controls Software House C-CURE 9000

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia