公開日:2014/11/28 最終更新日:2014/12/10
JVN#54775800
FAST/TOOLS における XML 外部実体参照処理の脆弱性
横河電機株式会社が提供する FAST/TOOLS には、XML 外部実体参照処理の脆弱性 (XXE) が存在します。
- FAST/TOOLS R9.01 から R9.05 まで
横河電機株式会社が提供する FAST/TOOLS には、XML 外部実体参照処理の脆弱性 (XXE) (CWE-611) が存在します。
細工された XML ファイルが含まれたプロジェクトを開くことで、当該製品で管理している情報が漏えいしたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は FAST/TOOLS R9.05-SP2 で修正されており、最新版の FAST/TOOLS R10.01 も本脆弱性の影響を受けないとのことです。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
横河電機株式会社 | 該当製品あり | 2014/11/28 | 横河電機株式会社 の告知ページ |
-
ICS-CERT Advisory (ICSA-14-343-01)
Yokogawa FAST/TOOLS XML External Entity
2014.11.28における脆弱性分析結果(CVSS Base Metrics)
評価尺度 | 評価値 | 説明 | ||
---|---|---|---|---|
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | 物理アクセスやローカル環境から攻撃可能 |
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に複雑な条件が必要 |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 単一の認証が必要 |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 一部の情報が漏えいする |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さは損なわれない |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用が部分的に阻害される |
Base Score:2.4
この脆弱性情報は、次の方が JPCERT/CC に報告し、情報セキュリティ早期警戒パートナーシップに基づき JPCERT/CC が開発者との調整を行いました。
報告者: Positive Technologies Timur Yunusov 氏、Alexey Osipov 氏、Ilya Karpov 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2014-7251 |
JVN iPedia |
JVNDB-2014-000141 |
- 2014/12/10
- 参考情報にリンクを追加しました。