公開日:2020/11/04 最終更新日:2020/11/04

JVNVU#95679259
ARC Informatique 製 PcVue に複数の脆弱性

概要

ARC Informatique 社 が提供する PcVue には、複数の脆弱性が存在します。

影響を受けるシステム

  • PcVue Version 8.10 から 12.0.17 より前のバージョンまで

詳細情報

PcVue は  Human Machine Interface (HMI) の制御ソフトウエアです。
PcVue には次の複数の脆弱性が存在します。

  • 信頼されていないデータのデシリアライズ (CWE-502) - CVE-2020-26867
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • パブリックメソッドを介した重要なプライベート変数へのアクセス (CWE-767) - CVE-2020-26868
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 情報漏えい (CWE-200) - CVE-2020-26869
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • 攻撃者が用意した信頼できないデータをデシリアライズすることで、Web およびモバイル用バックエンドサーバ上で任意のコードを実行される - CVE-2020-26867
  • 認証されていない攻撃者によって、正当な Web クライアントが送信したメッセージの検証に利用されるデータを変更され、サービス運用妨害 (DoS) される - CVE-2020-26868
  • 認証されていない攻撃者によって、正当なユーザのセッションデータにアクセスされ、機微な情報を窃取される - CVE-2020-26869

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • PcVue Version 12.0.17
ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • Web およびモバイル用バックエンド機能を利用していなければ、当該機能をアンインストールする。
  • 11.2までのバージョンを利用しており、Web およびモバイル用バックエンド機能を利用する場合は <PcVue installation directory>\bin\PropetryServer.config のコンフィグを以下のように変更する。
<serverProviders>
<formatter ref=”binary” typeFilterLevel=”Low” />
</serverProviders>
  • 対応するポートでの接続を IISWeb サーバプロセスによって開始された場合にのみ許可されるようにファイアウォールの設定を変更する。

ベンダ情報

ベンダ リンク
PcVue Solutions Security bulletin: SB2020-1(要ログイン)

参考情報

  1. ICS Advisory (ICSA-20-308-03)
    ARC Informatique PcVue

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-26867
CVE-2020-26868
CVE-2020-26869
JVN iPedia