JVNVU#90207343
AVEVA 製 AVEVA System Platform における複数の脆弱性

AVEVA 社が提供する AVEVA System Platform には、複数の脆弱性が存在します。

• AVEVA System Platform バージョン 2017 から 2020 R2 P01 まで

AVEVA 社が提供する AVEVA System Platform には、次の複数の脆弱性が存在します。

• 重要な機能に対する認証の欠如 (CWE-306) - CVE-2021-33008

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.0

• 例外を処理していない問題 (CWE-248) - CVE-2021-33010

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 6.5

• パス・トラバーサル (CWE-22) - CVE-2021-32981

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

• 同一生成元ポリシー違反 (CWE-346) - CVE-2021-32985

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

• デジタル署名の不適切な検証 (CWE-347) - CVE-2021-32977

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 隣接するネットワーク上の第三者によって、システム権限で任意のコードを実行される - CVE-2021-33008
• 遠隔の第三者によって、サービス運用妨害 (DoS) 状態にされる - CVE-2021-33010
• アクセス制限されたディレクトリ配下のファイルまたはディレクトリを指定する入力値に対して、適切な処理を実施していないため遠隔の第三者によって、アクセス制限されたディレクトリの外にアクセスされる - CVE-2021-32981
• データまたは通信元が有効であることを適切に検証しない - CVE-2021-32985
• データのデジタル署名を検証しない、または誤って検証する - CVE-2021-32977

アップデートする
開発者が提供する情報をもとに、製品を AVEVA Communication Drivers Pack 2020 R2.1 へアップデートしてください。
ただし、System Platform 2017 U3 SP1 P01 を使用している場合は、まず AVEVA Communication Drivers Pack 2020 R2 へアップデートした後に、AVEVA Communication Drivers Pack 2020 R2.1 を適用する必要があります。
詳細は、SECURITY BULLETIN AVEVA-2021-002 を確認してください。

ワークアラウンドを実施する
開発者によると、AutoBuild サービスを無効にすることで本脆弱性の影響を回避可能とのことです。
AutoBuild の機能は設定時に GR ノードで用いることを目的としているものなので、AutoBuild サービスがランタイムノードで有効化されている場合、これを無効化する必要があります。