JVNDB-2014-004249
|
CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性
|
|
横河電機株式会社が提供する CENTUM および Exaopc には、BKBCopyD.exe の処理に問題があり、任意のファイルにアクセス可能な脆弱性が存在します。
なお、National Vulnerability Database (NVD) では、CWE-284 として公開されています。
補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。
http://cwe.mitre.org/data/definitions/284.html
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
横河電機株式会社
- CENTUM CS 3000 Entry Class ソフトウェア R3.09.50 およびそれ以前
- CENTUM CS 3000 ソフトウェア R3.09.50 およびそれ以前
- CENTUM VP Entry Class ソフトウェア R4.03.00 まで
- CENTUM VP Entry Class ソフトウェア R5.04.00 までの R5.x
- CENTUM VP ソフトウェア R4.03.00 まで
- CENTUM VP ソフトウェア R5.04.00 までの R5.x
- Exaopc ファームウェア R3.72.10 およびそれ以前
- CENTUM CS 3000
- CENTUM CS 3000 Entry Class
- CENTUM VP
- CENTUM VP Entry Class
- Exaopc
|
詳しくは、開発者が提供する情報をご確認ください。
|
|
細工された通信フレームを 20111/tcp に送信されることで、ユーザの権限で任意のファイルを取得されたり作成されたりする可能性があります。
|
|
[パッチを適用する]
開発者が提供する情報をもとに、対応するパッチを適用してください。
開発者によると、2014年9月末から、対応するパッチが順次リリースされるとのことです。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・20111/tcp へのアクセスを制限する
詳しくは、開発者が提供する情報 (YSAR-14-000) をご確認ください。
YSAR-14-000
http://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf
|
|
横河電機株式会社
|
|
- その他(CWE-Other) [NVD評価]
|
|
- CVE-2014-5208
|
|
- JVN : JVNVU#95634161
- National Vulnerability Database (NVD) : CVE-2014-5208
- ICS-CERT ADVISORY : ICSA-14-260-01
|
|
- [2014年09月18日]
掲載
[2014年12月24日]
概要:内容を更新
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:横河電機株式会社 (YSAR-14-0003E) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2014-5208) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
|
