JVNDB-2021-001897

AVEVA 製 AVEVA System Platform における複数の脆弱性

AVEVA 社が提供する AVEVA System Platform には、次の複数の脆弱性が存在します。

　* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33008
　* 例外を処理していない問題 (CWE-248) - CVE-2021-33010
　* パス・トラバーサル (CWE-22) - CVE-2021-32981
　* 同一生成元ポリシー違反 (CWE-346) - CVE-2021-32985
　* デジタル署名の不適切な検証 (CWE-347) - CVE-2021-32977

AVEVA

• AVEVA System Platform バージョン 2017 から 2020 R2 P01 まで

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* 隣接するネットワーク上の第三者によって、システム権限で任意のコードを実行される - CVE-2021-33008
　* 遠隔の第三者によって、サービス運用妨害 (DoS) 状態にされる - CVE-2021-33010
　* アクセス制限されたディレクトリ配下のファイルまたはディレクトリを指定する入力値に対して、適切な処理を実施していないため遠隔の第三者によって、アクセス制限されたディレクトリの外にアクセスされる - CVE-2021-32981
　* データまたは通信元が有効であることを適切に検証しない - CVE-2021-32985
　* データのデジタル署名を検証しない、または誤って検証する - CVE-2021-32977

[アップデートする]
開発者が提供する情報をもとに、製品を AVEVA Communication Drivers Pack 2020 R2.1 へアップデートしてください。
ただし、System Platform 2017 U3 SP1 P01 を使用している場合は、まず AVEVA Communication Drivers Pack 2020 R2 へアップデートした後に、AVEVA Communication Drivers Pack 2020 R2.1 を適用する必要があります。
詳細は、SECURITY BULLETIN AVEVA-2021-002 を確認してください。

[ワークアラウンドを実施する]
開発者によると、AutoBuild サービスを無効にすることで本脆弱性の影響を回避可能とのことです。
AutoBuild の機能は設定時に GR ノードで用いることを目的としているものなので、AutoBuild サービスがランタイムノードで有効化されている場合、これを無効化する必要があります。

AVEVA

• AVEVA : SECURITY BULLETIN AVEVA-2021-002

1. キャッチされない例外(CWE-248) [IPA評価]
2. 重要な機能に対する認証の欠如(CWE-306) [IPA評価]
3. パス・トラバーサル(CWE-22) [IPA評価]
4. 同一生成元ポリシー違反(CWE-346) [IPA評価]
5. デジタル署名の不適切な検証(CWE-347) [IPA評価]

1. CVE-2021-33008
2. CVE-2021-33010
3. CVE-2021-32981
4. CVE-2021-32985
5. CVE-2021-32977

1. JVN : JVNVU#90207343
2. ICS-CERT ADVISORY : ICSA-21-180-05

• [2021年07月01日]
    掲載
• [2021年07月30日]
    概要：内容を更新
    CVSS による深刻度：内容を更新
    想定される影響：内容を更新
    共通脆弱性識別子(CVE)：CVE-2021-32981 を追加
    共通脆弱性識別子(CVE)：CVE-2021-32985 を追加
    共通脆弱性識別子(CVE)：CVE-2021-32977 を追加
    CWE による脆弱性タイプ一覧：内容を更新