JVNDB-2020-004666
|
複数の Johnson Controls 製品に重要な情報の平文保存に関する脆弱性
|
|
Johnson Controls が提供する複数の製品には、重要な情報の平文保存に関する脆弱性が存在します。
Johnson Controls が提供する Software House C CURE 9000 および American Dynamics victor VMS は産業用入退室管理システム、およびビデオ管理ソフトウエアです。当該製品には、重要な情報の平文保存の脆弱性 (CWE-312) が存在します。
|
|
CVSS v3 による深刻度
基本値: 9.9 (緊急) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
ジョンソンコントロールズ
- American Dynamics victor Video Management System Version 5.2
- Software House C CURE Version 2.70
|
|
|
当該製品のインストールまたはアップグレードを実行したユーザの認証情報が、ログファイルに平文で保存され、インストール後も削除されないため、遠隔の第三者により認証情報を窃取される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* c:program\data\tyco\installertemp のログファイルを削除し、Windows アカウントのパスワードを変更する
詳細については、開発者が提供するアドバイザリ JCI-PSA-2020-4 を参照ください。
|
|
ジョンソンコントロールズ
|
|
- 重要な情報の平文保存(CWE-312) [その他]
|
|
- CVE-2020-9045
|
|
- JVN : JVNVU#91294008
- National Vulnerability Database (NVD) : CVE-2020-9045
- ICS-CERT ADVISORY : ICSA-20-142-01
|
|
|
