JVNDB-2021-002396
|
AVEVA 製 PCS Portal における DLL 読み込みに関する脆弱性
|
|
AVEVA 社が提供する PCS Portal は AVEVA 製品を実行しているノード間のデータ交換のための共通フレームワークです。PCS Portal には、制御されていない検索パス要素を介した DLL 読み込みに関する脆弱性(CWE-427、CVE-2021-38410)が存在します。
|
|
CVSS v3 による深刻度
基本値: 7.3 (重要) [その他]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
以下のバージョンの AVEVA Software Platform Common Services(PCS)Portal および PCS Portal アプリケーションの脆弱なバージョンを搭載する以下の製品が本脆弱性の影響を受けるとのことです。
|
AVEVA
- AVEVA Batch Management 2020
- AVEVA Enterprise Data Management 2021
- AVEVA Manufacturing Execution System 2020
- AVEVA Mobile Operator 2020
- AVEVA Software Platform Common Services 4.4.6
- AVEVA Software Platform Common Services 4.5.0
- AVEVA Software Platform Common Services 4.5.1
- AVEVA Software Platform Common Services 4.5.2
- AVEVA System Platform 2020 R2 P01
- AVEVA System Platform 2020 R2
- AVEVA System Platform 2020
- AVEVA Work Tasks 2020 Update 1
- AVEVA Work Tasks 2020
|
|
|
第三者によって DLL 検索パス内の1つ以上の場所を制御され、 PCS Portal アプリケーションのコンテキスト内で悪意のあるコードを実行される可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性を修正したセキュリティアップデート PCS 4.5.3 は、以下の製品で使用できます。
* AVEVA Mobile Operator 2020
* AVEVA Enterprise Data Management 2021
* AVEVA System Platform 2020 R2 P01
* AVEVA System Platform 2020 R2
* AVEVA Work Tasks 2020 Update 1
本脆弱性を修正したセキュリティアップデート PCS 4.4.7 は、以下の製品で使用できます。
* AVEVA System Platform 2020
* AVEVA Work Tasks 2020
* AVEVA Manufacturing Execution System 2020
* AVEVA Batch Management 2020
詳細は、開発者が提供するセキュリティアドバイザリ AVEVA-2021-008(PDF)を確認してください。
|
|
AVEVA
|
|
- 制御されていない検索パスの要素(CWE-427) [その他]
|
|
- CVE-2021-38410
|
|
- JVN : JVNVU#98046090
- ICS-CERT ADVISORY : ICSA-21-252-01
|
|
|
