JVNDB-2020-009593
|
Schneider Electric 製 Interactive Graphical SCADA System に複数の脆弱性
|
Interactive Graphical SCADA System (IGSS) は、Schneider Electric 社が提供する、制御システムの監視制御用ソフトウェアです。
Interactive Graphical SCADA System (IGSS) には、次の複数の脆弱性が存在します。
* バッファエラー (CWE-119) - CVE-2020-7550、CVE-2020-7551、CVE-2020-7552、CVE-2020-7554
* 境界外書き込み (CWE-787) - CVE-2020-7553、CVE-2020-7555、CVE-2020-7556、CVE-2020-7558
* 境界外読み込み (CWE-125) - CVE-2020-7557
|
CVSS v3 による深刻度 基本値: 7.8 (重要) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2020-7550の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7551の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7552の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7553の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7554の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7555の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7556の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7557の評価になります。
|
CVSS v3 による深刻度
基本値:
7.8 (重要) [IPA値]
-
攻撃元区分: ローカル
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2020-7558の評価になります。
|
|
Schneider Electric
- Interactive Graphical SCADA System (IGSS) Version 14.0.0.20247
|
|
細工された CGF (Configuration Group File) ファイルを IGSS Definition にインポートした場合、任意のコードが実行される可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、対策版にアップデートしてください。
今回の脆弱性に対処したバージョンがリリースされています。
* IGSS Version 14.0.0.20248
* IGSS Version 15.0
[ワークアラウンドを実施する]
* 信頼されていない CGF ファイルのインポートを避ける
|
Schneider Electric
|
- バッファエラー(CWE-119) [IPA評価]
- 境界外読み取り(CWE-125) [IPA評価]
- 境界外書き込み(CWE-787) [IPA評価]
|
- CVE-2020-7550
- CVE-2020-7551
- CVE-2020-7552
- CVE-2020-7553
- CVE-2020-7554
- CVE-2020-7555
- CVE-2020-7556
- CVE-2020-7557
- CVE-2020-7558
|
- JVN : JVNVU#99979220
- National Vulnerability Database (NVD) : CVE-2020-7550
- National Vulnerability Database (NVD) : CVE-2020-7551
- National Vulnerability Database (NVD) : CVE-2020-7552
- National Vulnerability Database (NVD) : CVE-2020-7553
- National Vulnerability Database (NVD) : CVE-2020-7554
- National Vulnerability Database (NVD) : CVE-2020-7555
- National Vulnerability Database (NVD) : CVE-2020-7556
- National Vulnerability Database (NVD) : CVE-2020-7557
- National Vulnerability Database (NVD) : CVE-2020-7558
- ICS-CERT ADVISORY : ICSA-20-324-04
|
|