公開日:2022/08/16 最終更新日:2022/08/16
JVNVU#99391247
Schneider Electric製EcoStruxure Control Expert、EcoStruxure Process ExpertおよびSCADAPack RemoteConnect for x70における複数の脆弱性
Schneider Electric社が提供するEcoStruxure Control Expert、EcoStruxure Process ExpertおよびSCADAPack RemoteConnect for x70には、複数の脆弱性が存在します。
AT&T Labs Compressor(XMill)およびDecompressor(XDemill)を利用する以下の製品が影響を受けます。
- EcoStruxure Control Expert(Unity Proを含む)V15.1 HF001より前のバージョン
- EcoStruxure Process Expert(HDCSを含む)V2021より前のバージョン
- SCADAPack RemoteConnect for x70 R2.7.3より前のバージョン
Schneider Electric社が提供するEcoStruxure Control Expert、EcoStruxure Process ExpertおよびSCADAPack RemoteConnect for x70には、次の複数の脆弱性が存在します。
- ヒープベースのバッファオーバーフロー (CWE-122) - CVE-2021-21810、CVE-2021-21825、CVE-2021-21829、CVE-2021-21830
- 整数アンダーフロー (CWE-191) - CVE-2021-21811
- バッファオーバーフロー (CWE-120) - CVE-2021-21812、CVE-2021-21813、CVE-2021-21814、CVE-2021-21815、CVE-2021-21826、CVE-2021-21827、CVE-2021-21828
- 境界外読み取り (CWE-125) - CVE-2022-26507
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、任意のコードが実行される - CVE-2021-21810、CVE-2021-21826、CVE-2021-21827、CVE-2021-21825、CVE-2021-21829、CVE-2021-21830、CVE-2021-21828、CVE-2022-26507
- 遠隔の第三者によって、不正な演算結果が生成される - CVE-2021-21811
- ローカルのユーザによって、任意のコードが実行される - CVE-2021-21812、CVE-2021-21813、CVE-2021-21814、CVE-2021-21815
アップデートする
開発者によりアップデートが提供されています。詳細は開発者が提供する情報を確認してください。
ワークアラウンドを実施する
開発者により複数の回避策が提示されています。詳細は開発者が提供する情報を確認してください。
なお、AT&T Labsによると、AT&T Labs Compressor(XMill)およびDecompressor(XDemill)はサポートが終了しており、これらを使用した製品の開発は推奨されていないとのことです。
-
ICS Advisory (ICSA-22-223-03)
Schneider Electric EcoStruxure, EcoStruxure Process Expert, SCADAPack RemoteConnect for x70