JVNDB-2020-009593

JVNDB-2020-009593
Schneider Electric 製 Interactive Graphical SCADA System に複数の脆弱性
概要
Interactive Graphical SCADA System (IGSS) は、Schneider Electric 社が提供する、制御システムの監視制御用ソフトウェアです。 Interactive Graphical SCADA System (IGSS) には、次の複数の脆弱性が存在します。　* バッファエラー (CWE-119) - CVE-2020-7550、CVE-2020-7551、CVE-2020-7552、CVE-2020-7554 　* 境界外書き込み (CWE-787) - CVE-2020-7553、CVE-2020-7555、CVE-2020-7556、CVE-2020-7558 　* 境界外読み込み (CWE-125) - CVE-2020-7557
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7550の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7551の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7552の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7553の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7554の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7555の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7556の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7557の評価になります。
CVSS v3 による深刻度基本値: 7.8 (重要) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 ※上記は、CVE-2020-7558の評価になります。
影響を受けるシステム

Schneider Electric Interactive Graphical SCADA System (IGSS) Version 14.0.0.20247

想定される影響
細工された CGF (Configuration Group File) ファイルを IGSS Definition にインポートした場合、任意のコードが実行される可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、対策版にアップデートしてください。今回の脆弱性に対処したバージョンがリリースされています。　* IGSS Version 14.0.0.20248 　* IGSS Version 15.0 [ワークアラウンドを実施する] 　* 信頼されていない CGF ファイルのインポートを避ける
ベンダ情報
Schneider Electric Schneider Electric : Security Notification - Interactive Graphical SCADA System (IGSS) Schneider Electric : IGSS Licensed Versions
CWEによる脆弱性タイプ一覧 CWEとは?
バッファエラー(CWE-119) [IPA評価] 境界外読み取り(CWE-125) [IPA評価] 境界外書き込み(CWE-787) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2020-7550 CVE-2020-7551 CVE-2020-7552 CVE-2020-7553 CVE-2020-7554 CVE-2020-7555 CVE-2020-7556 CVE-2020-7557 CVE-2020-7558
参考情報
JVN : JVNVU#99979220 National Vulnerability Database (NVD) : CVE-2020-7550 National Vulnerability Database (NVD) : CVE-2020-7551 National Vulnerability Database (NVD) : CVE-2020-7552 National Vulnerability Database (NVD) : CVE-2020-7553 National Vulnerability Database (NVD) : CVE-2020-7554 National Vulnerability Database (NVD) : CVE-2020-7555 National Vulnerability Database (NVD) : CVE-2020-7556 National Vulnerability Database (NVD) : CVE-2020-7557 National Vulnerability Database (NVD) : CVE-2020-7558 ICS-CERT ADVISORY : ICSA-20-324-04
更新履歴
[2020年11月19日] 掲載


公表日	2020/11/18
登録日	2020/11/19
最終更新日	2020/11/19

Schneider Electric 製 Interactive Graphical SCADA System に複数の脆弱性