公開日:2021/09/10 最終更新日:2021/09/10

JVNVU#98046090
AVEVA製PCS PortalにおけるDLL読み込みに関する脆弱性

概要

AVEVA社が提供するPlatform Common Services(PCS)Portalには、DLL読み込みに関する脆弱性が存在します。

影響を受けるシステム

以下のバージョンのAVEVA Software Platform Common Services(PCS)Portalが本脆弱性の影響を受けるとのことです。

  • PCS バージョン4.5.2、4.5.1、4.5.0および4.4.6
PCS Portalアプリケーションの脆弱なバージョンを搭載する以下の製品が本脆弱性の影響を受けるとのことです。
  • AVEVA System Platform 2020 R2 P01、2020 R2、および2020
  • AVEVA Work Tasks 2020 Update 1
  • AVEVA Work Tasks 2020
  • AVEVA Mobile Operator 2020
  • AVEVA Manufacturing Execution System 2020
  • AVEVA Batch Management 2020
  • AVEVA Enterprise Data Management 2021

詳細情報

AVEVA社が提供するPCS PortalはAVEVA製品を実行しているノード間のデータ交換のための共通フレームワークです。PCS Portalには、制御されていない検索パス要素を介したDLL読み込みに関する脆弱性(CWE-427、CVE-2021-38410)が存在します。

想定される影響

第三者によってDLL検索パス内の1つ以上の場所を制御され、PCS Portalアプリケーションのコンテキスト内で悪意のあるコードを実行される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

本脆弱性を修正したセキュリティアップデートPCS 4.5.3は、以下の製品で使用できます。

  • AVEVA Mobile Operator 2020
  • AVEVA Enterprise Data Management 2021
  • AVEVA System Platform 2020 R2 P01
  • AVEVA System Platform 2020 R2
  • AVEVA Work Tasks 2020 Update 1
本脆弱性を修正したセキュリティアップデートPCS 4.4.7は、以下の製品で使用できます。
  • AVEVA System Platform 2020
  • AVEVA Work Tasks 2020
  • AVEVA Manufacturing Execution System 2020
  • AVEVA Batch Management 2020
詳細は、開発者が提供するセキュリティアドバイザリAVEVA-2021-008(PDF)を確認してください。

ベンダ情報

ベンダ リンク
AVEVA SECURITY BULLETIN AVEVA-2021-008(PDF)

参考情報

  1. ICS Advisory (ICSA-21-252-01)
    AVEVA PCS Portal

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
基本値: 7.3
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia