区分
JVN番号
タイトル
JVN
深刻度
深刻度
最終更新日
CVE番号
New
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
7.5
2020/04/07 12:07
CVE-2019-19101
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
- 概要
- Automation Studio は、B&R Industrial Automation GmbH. が提供する産業用シミュレーションソフトウエアです。Automation Studio には以下の複数の脆弱性が存在します。
* 不適切な権限管理 (CWE-269) - CVE-2019-19100
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:H 基本値: 7.5
* 暗号化処理の不備 (CWE-325) - CVE-2019-19101
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 6.5
* ディレクトリトラバーサル (CWE-22) - CVE-2019-19102
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 5.5
- 想定される影響と対策
- 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * Automation Studio のアップグレードサービスにおける不適切な権限管理により、悪意あるローカルユーザによって権限を昇格され、システムインターフェースを通じて任意のファイルを削除される - CVE-2019-19100 * Automation Studio をアップグレードする際、アップグレードファイルを HTTPS ではなく HTTP 通信によって取得してしまうことがある。また、アップグレードサーバに対して HTTPS 通信を行う際にも、証明書検証処理に不備があるため、認証されていない悪意あるユーザによって中間者攻撃 (man-in-the-middle attack) が行われる可能性がある - CVE-2019-19101 * Automation Studio のアップグレードサービスで使用されるサードパーティ製ライブラリ「SharpZipLib」におけるディレクトリトラバーサルの脆弱性 (CVE-2018-1002208) に起因して、認証されていない悪意あるユーザによってシステム内の特定のディレクトリへの書き込みが行われる - CVE-2019-19102
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 なお、バージョン 4.0.x, 4.1.x, 4.2.x についてはパッチが提供されていません。開発者はバージョン 4.3.x 以上へのアップグレードを推奨しています。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * Automation Studio のアップグレードサービスの設定を変更し、サービスが動作する権限を制限する (例: NT AUTHORITY\LocalService)。また、Automation Studio のインストール操作やインストールされている端末へのアクセスを、信頼できるユーザに限定する * Zip ファイルの取り扱いは、信頼できるユーザに限定する。ファイルを取り扱う場合は、チェックサムを用いて改ざんされていないことを確認する。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 7.5CVECVE-2019-19101公表日2020/04/06 00:00登録日2020/04/07 12:07更新日2020/04/07 12:07
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
New
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
7.5
2020/04/07 12:07
CVE-2019-19102
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
- 概要
- Automation Studio は、B&R Industrial Automation GmbH. が提供する産業用シミュレーションソフトウエアです。Automation Studio には以下の複数の脆弱性が存在します。
* 不適切な権限管理 (CWE-269) - CVE-2019-19100
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:H 基本値: 7.5
* 暗号化処理の不備 (CWE-325) - CVE-2019-19101
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 6.5
* ディレクトリトラバーサル (CWE-22) - CVE-2019-19102
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 5.5
- 想定される影響と対策
- 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * Automation Studio のアップグレードサービスにおける不適切な権限管理により、悪意あるローカルユーザによって権限を昇格され、システムインターフェースを通じて任意のファイルを削除される - CVE-2019-19100 * Automation Studio をアップグレードする際、アップグレードファイルを HTTPS ではなく HTTP 通信によって取得してしまうことがある。また、アップグレードサーバに対して HTTPS 通信を行う際にも、証明書検証処理に不備があるため、認証されていない悪意あるユーザによって中間者攻撃 (man-in-the-middle attack) が行われる可能性がある - CVE-2019-19101 * Automation Studio のアップグレードサービスで使用されるサードパーティ製ライブラリ「SharpZipLib」におけるディレクトリトラバーサルの脆弱性 (CVE-2018-1002208) に起因して、認証されていない悪意あるユーザによってシステム内の特定のディレクトリへの書き込みが行われる - CVE-2019-19102
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 なお、バージョン 4.0.x, 4.1.x, 4.2.x についてはパッチが提供されていません。開発者はバージョン 4.3.x 以上へのアップグレードを推奨しています。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * Automation Studio のアップグレードサービスの設定を変更し、サービスが動作する権限を制限する (例: NT AUTHORITY\LocalService)。また、Automation Studio のインストール操作やインストールされている端末へのアクセスを、信頼できるユーザに限定する * Zip ファイルの取り扱いは、信頼できるユーザに限定する。ファイルを取り扱う場合は、チェックサムを用いて改ざんされていないことを確認する。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 7.5CVECVE-2019-19102公表日2020/04/06 00:00登録日2020/04/07 12:07更新日2020/04/07 12:07
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
New
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
7.5
2020/04/07 12:07
CVE-2019-19100
JVNDB-2020-003173
B&R Industrial Automation GmbH. が提供する Automation Studio 製品に複数の脆弱性
- 概要
- Automation Studio は、B&R Industrial Automation GmbH. が提供する産業用シミュレーションソフトウエアです。Automation Studio には以下の複数の脆弱性が存在します。
* 不適切な権限管理 (CWE-269) - CVE-2019-19100
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:H 基本値: 7.5
* 暗号化処理の不備 (CWE-325) - CVE-2019-19101
CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 6.5
* ディレクトリトラバーサル (CWE-22) - CVE-2019-19102
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値: 5.5
- 想定される影響と対策
- 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * Automation Studio のアップグレードサービスにおける不適切な権限管理により、悪意あるローカルユーザによって権限を昇格され、システムインターフェースを通じて任意のファイルを削除される - CVE-2019-19100 * Automation Studio をアップグレードする際、アップグレードファイルを HTTPS ではなく HTTP 通信によって取得してしまうことがある。また、アップグレードサーバに対して HTTPS 通信を行う際にも、証明書検証処理に不備があるため、認証されていない悪意あるユーザによって中間者攻撃 (man-in-the-middle attack) が行われる可能性がある - CVE-2019-19101 * Automation Studio のアップグレードサービスで使用されるサードパーティ製ライブラリ「SharpZipLib」におけるディレクトリトラバーサルの脆弱性 (CVE-2018-1002208) に起因して、認証されていない悪意あるユーザによってシステム内の特定のディレクトリへの書き込みが行われる - CVE-2019-19102
[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 なお、バージョン 4.0.x, 4.1.x, 4.2.x についてはパッチが提供されていません。開発者はバージョン 4.3.x 以上へのアップグレードを推奨しています。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * Automation Studio のアップグレードサービスの設定を変更し、サービスが動作する権限を制限する (例: NT AUTHORITY\LocalService)。また、Automation Studio のインストール操作やインストールされている端末へのアクセスを、信頼できるユーザに限定する * Zip ファイルの取り扱いは、信頼できるユーザに限定する。ファイルを取り扱う場合は、チェックサムを用いて改ざんされていないことを確認する。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 7.5CVECVE-2019-19100公表日2020/04/06 00:00登録日2020/04/07 12:07更新日2020/04/07 12:07
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。