JVNDB-2020-004589
|
Emerson 製 OpenEnterprise に複数の脆弱性
|
|
OpenEnterprise は Emerson が提供する産業用 SCADA ソフトウエアです。OpenEnterprise には次の複数の脆弱性が存在します。
* 不適切な所有権管理 (CWE-282) - CVE-2020-10632
* 不十分な暗号強度 (CWE-326) - CVE-2020-10636
* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2020-10640
|
|
CVSS v3 による深刻度
基本値: 8.8 (重要) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2020-10632 の評価になります。
|
CVSS v3 による深刻度
基本値:
6.5 (警告) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 高
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-10636の評価になります。
|
CVSS v3 による深刻度
基本値:
10.0 (緊急) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-10640の評価になります。
|
|
|
エマソン
- OpenEnterprise SCADA Server 3.3.4 およびそれ以前の全てのバージョン
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* システム内のフォルダに対するアクセス権限の設定に不備があり、ローカルの第三者により重要な設定ファイルが改ざんされ、システム障害や予期しない動作が発生する - CVE-2020-10632
* ローカルの第三者によって OpenEnterprise のユーザアカウントのパスワードを取得される - CVE-2020-10636
* 遠隔の第三者によって、システム権限で任意のコマンドを実行されたり、特定の通信経路を介して任意のコードを実行されたりする - CVE-2020-10640
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。
|
|
エマソン
|
|
- 重要な機能に対する認証の欠如(CWE-306) [NVD評価]
- その他(CWE-Other) [NVD評価]
- 不適切な暗号強度(CWE-326) [NVD評価]
|
|
- CVE-2020-10640
- CVE-2020-10632
- CVE-2020-10636
|
|
- JVN : JVNVU#92838573
- National Vulnerability Database (NVD) : CVE-2020-10632
- National Vulnerability Database (NVD) : CVE-2020-10636
- National Vulnerability Database (NVD) : CVE-2020-10640
- ICS-CERT ADVISORY : ICSA-20-140-02
|
|
- [2020年05月21日]
掲載
- [2024年06月20日]
CVSS による深刻度:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2020-10640) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2020-10632) を追加
参考情報:National Vulnerability Database (NVD) (CVE-2020-10636) を追加
CWE による脆弱性タイプ一覧:内容を更新
|
