公開日:2021/08/13 最終更新日:2021/08/13

JVNVU#96261114
Horner Automation製Cscapeに複数の脆弱性

概要

Horner Automation社が提供するCscapeには、複数の脆弱性が存在します。

影響を受けるシステム

  • Cscape 9.90 SP5より前のすべてのバージョン

詳細情報

Horner Automation社が提供するCscapeは、制御システムアプリケーションプログラミングソフトウェアです。Cscapeには、次の複数の脆弱性が存在します。

  • 境界外書き込み (CWE-787) - CVE-2021-32995
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 初期化されていないポインタのアクセス (CWE-824) - CVE-2021-33015
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
  • 境界外読み取り (CWE-125) - CVE-2021-32975
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8

想定される影響

いずれの脆弱性も、第三者によって、現行プロセスのコンテキスト内で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、次のバージョンにアップデートしてください。

  • Cscape Version 9.90 SP5以降
特定のインストールでCscapeを導入しているユーザは、必要に応じてHorner Automation社のサービスサポートチームにお問い合わせください。

ベンダ情報

ベンダ リンク
Horner Automation Cscape Software

参考情報

  1. ICS Advisory (ICSA-21-224-02)
    Horner Automation Cscape

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia