公開日:2021/10/08 最終更新日:2021/10/08

JVNVU#97701389
Exacq Technologies製exacqVisionに複数の脆弱性

概要

Exacq Technologies製exacqVisionには、不適切な権限管理および整数オーバーフローの脆弱性が存在します。

影響を受けるシステム

CVE-2021-27664

  • exacqVision Web Service バージョン21.06.11.0およびそれ以前

CVE-2021-27665
  • exacqVision Server 32-bit バージョン21.06.11.0およびそれ以前

詳細情報

Exacq Technologies社(Johnson Controls社子会社)が提供するexacqVisionには、次の脆弱性が存在します。

exacqVision Web Service

  • 不適切な権限管理(CWE-269) - CVE-2021-27664
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
exacqVision Server 32-bit
  • 整数オーバーフロー(CWE-190) - CVE-2021-27665
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者により、exacqVisionサーバに保存されている認証情報にアクセスされる - CVE-2021-27664
  • 遠隔の第三者により、サービス運用妨害(DoS)状態にされる - CVE-2021-27665

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は本脆弱性の修正版として以下をリリースしています。

  • exacqVision Web Service
    • exacqVision Web Service バージョン21.09
  • exacqVision Server 32-bit
    • exacqVision Server 32-bit バージョン21.09
    • CVE-2021-27665 は、exacqVision Server 64-bit を使用することでも脆弱性を回避することが可能です

ベンダ情報

ベンダ リンク
Johnson Controls Product Security Advisories | JCI-PSA-2021-16(PDF)
Johnson Controls Product Security Advisories | JCI-PSA-2021-18(PDF)

参考情報

  1. ICS Advisory (ICSA-21-280-01)
    Johnson Controls exacqVision Server Bundle
  2. ICS Advisory (ICSA-21-280-03)
    Johnson Controls exacqVision

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia