JVNDB-2021-001897
|
AVEVA 製 AVEVA System Platform における複数の脆弱性
|
AVEVA 社が提供する AVEVA System Platform には、次の複数の脆弱性が存在します。
* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33008
* 例外を処理していない問題 (CWE-248) - CVE-2021-33010
* パス・トラバーサル (CWE-22) - CVE-2021-32981
* 同一生成元ポリシー違反 (CWE-346) - CVE-2021-32985
* デジタル署名の不適切な検証 (CWE-347) - CVE-2021-32977
|
CVSS v3 による深刻度 基本値: 8.0 (重要) [IPA値]
- 攻撃元区分: 隣接
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2021-33008の評価になります。
|
CVSS v3 による深刻度
基本値:
7.5 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): なし
-
可用性への影響(A): 高
※上記は、CVE-2021-33010の評価になります。
|
CVSS v3 による深刻度
基本値:
7.2 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2021-32981の評価になります。
|
CVSS v3 による深刻度
基本値:
7.2 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2021-32985の評価になります。
|
CVSS v3 による深刻度
基本値:
7.2 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): 高
-
可用性への影響(A): 高
※上記は、CVE-2021-32977の評価になります。
|
|
AVEVA
- AVEVA System Platform バージョン 2017 から 2020 R2 P01 まで
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 隣接するネットワーク上の第三者によって、システム権限で任意のコードを実行される - CVE-2021-33008
* 遠隔の第三者によって、サービス運用妨害 (DoS) 状態にされる - CVE-2021-33010
* アクセス制限されたディレクトリ配下のファイルまたはディレクトリを指定する入力値に対して、適切な処理を実施していないため遠隔の第三者によって、アクセス制限されたディレクトリの外にアクセスされる - CVE-2021-32981
* データまたは通信元が有効であることを適切に検証しない - CVE-2021-32985
* データのデジタル署名を検証しない、または誤って検証する - CVE-2021-32977
|
[アップデートする]
開発者が提供する情報をもとに、製品を AVEVA Communication Drivers Pack 2020 R2.1 へアップデートしてください。
ただし、System Platform 2017 U3 SP1 P01 を使用している場合は、まず AVEVA Communication Drivers Pack 2020 R2 へアップデートした後に、AVEVA Communication Drivers Pack 2020 R2.1 を適用する必要があります。
詳細は、SECURITY BULLETIN AVEVA-2021-002 を確認してください。
[ワークアラウンドを実施する]
開発者によると、AutoBuild サービスを無効にすることで本脆弱性の影響を回避可能とのことです。
AutoBuild の機能は設定時に GR ノードで用いることを目的としているものなので、AutoBuild サービスがランタイムノードで有効化されている場合、これを無効化する必要があります。
|
AVEVA
|
- キャッチされない例外(CWE-248) [IPA評価]
- 重要な機能に対する認証の欠如(CWE-306) [IPA評価]
- パス・トラバーサル(CWE-22) [IPA評価]
- 同一生成元ポリシー違反(CWE-346) [IPA評価]
- デジタル署名の不適切な検証(CWE-347) [IPA評価]
|
- CVE-2021-33008
- CVE-2021-33010
- CVE-2021-32981
- CVE-2021-32985
- CVE-2021-32977
|
- JVN : JVNVU#90207343
- ICS-CERT ADVISORY : ICSA-21-180-05
|
- [2021年07月01日]
掲載
- [2021年07月30日]
概要:内容を更新
CVSS による深刻度:内容を更新
想定される影響:内容を更新
共通脆弱性識別子(CVE):CVE-2021-32981 を追加
共通脆弱性識別子(CVE):CVE-2021-32985 を追加
共通脆弱性識別子(CVE):CVE-2021-32977 を追加
CWE による脆弱性タイプ一覧:内容を更新
|