JVNVU#92960744
Schneider Electric 製 Interactive Graphical SCADA System (IGSS) にバッファエラーの脆弱性

Schneider Electric 社が提供する Interactive Graphical SCADA System (IGSS) には、バッファエラーの脆弱性が存在します。

• IGSS Definition (Def.exe) Version 15.0.0.21041 およびそれ以前

が提供するIGSS SCADAには、次の複数の脆弱性が存在します。

• バッファエラー (CWE-119) - CVE-2021-22709

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• バッファエラー (CWE-119) - CVE-2021-22710

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• バッファエラー (CWE-119) - CVE-2021-22711

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

• バッファエラー (CWE-119) - CVE-2021-22712

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.8

想定される影響は各脆弱性により異なりますが、ローカルネットワークにアクセス可能な第三者によって細工された CGF (Configuration Group File) ファイルを IGSS Definition にインポートすることで、次のような影響を受ける可能性があります。

• データが失われたり任意のコードが実行されたりする - CVE-2021-22709
• 任意のコードが実行される - CVE-2021-22710
• CGF ファイルを IGSS Definition にインポートする際に入力データが検証されないため、任意の読み取り、書き込みが行われる - CVE-2021-22711
• CGF ファイルを IGSS Definition にインポートする際にポインタのアドレス値がチェックされないため、任意の読み取り、書き込みが行われる - CVE-2021-22712

アップデートする
Schneider Electric 社が提供する情報をもとに、以下のバージョンにアップデートしてください。

• IGSS Definition (Def.exe) Version 15.0.0.21042

• 信頼されていない CGF ファイルのインポートを避ける