公開日:2020/06/19 最終更新日:2020/06/19

JVNVU#93844395
Johnson Controls 製 exacqVision にデジタル署名の検証不備の脆弱性

概要

Johnson Controls 社が提供する exacqVision にはデジタル署名の検証不備の脆弱性が存在します。

影響を受けるシステム

以下の製品とバージョンが影響を受けます。

  • exacqVision Web Service v20.03.2.0 より前のすべてのバージョン
  • exacqVision Enterprise Manager v20.03.3.0 より前のすべてのバージョン

詳細情報

Johnson Controls 製 exacqVision にはデジタル署名の検証が適切に行われない脆弱性が存在します。

  • デジタル署名の不適切な入力確認 (CWE-347) - CVE-2020-9047
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:L/I:H/A:L 基本値: 6.8

想定される影響

管理者権限を持つ第三者が不正な実行ファイルをダウンロードして実行し、結果としてシステム上で OS コマンドが実行されるおそれがあります。

対策方法

アップデートする
開発者が提供する情報をもとに、使用しているバージョンの最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
  • exacqVision Web Service v20.06.2.0
  • exacqVision Enterprise Manager v20.06.3.0

ベンダ情報

ベンダ リンク
Johnson Controls Product Security Advisory JCI-PSA-2020-7 v1

参考情報

  1. ICS Advisory (ICSA-20-170-01)
    Johnson Controls exacqVision

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9047
JVN iPedia