公開日:2010/11/22 最終更新日:2010/11/22

JVNVU#479051
OSIsoft PI Server の認証処理に脆弱性

概要

OSIsoft PI Server が提供する認証処理には、脆弱性が存在します。

影響を受けるシステム

  • PI Server version 3.4.380.36 より前のバージョン

詳細情報

OSIsoft PI Server が提供する認証処理には、脆弱性が存在します。

想定される影響

PI Server にアクセス可能な第三者によって、データベースにアクセスされる可能性があります。

対策方法

アップデートする
ベンダが提供する情報をもとに最新版へアップデートしてください。

ワークアラウンドを実施する
ベンダが提供する以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  • Enable the PI Server for Windows authentication and configure PI Trust records
  • Use IPSec between the PI Server and the different client computers

ベンダ情報

ベンダ リンク
OSIsoft Tech Support - Release Notes for PI Server 3.4.380.36 (登録ユーザのみ)
Knowledge Center - OSISoft KB article 5120OSI8 (登録ユーザのみ)

参考情報

  1. US-CERT Vulnerability Note VU#479051
    OSIsoft PI Server provides an insecure authentication mechanism

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-0209
JVN iPedia