公開日:2024/11/14 最終更新日:2024/11/14

JVNVU#91160009
SUBNET Solutions製PowerSYSTEM Centerにおける複数の脆弱性

概要

SUBNET Solutionsが提供するPowerSYSTEM Centerには、複数の脆弱性が存在します。

影響を受けるシステム

  • PowerSYSTEM Center PSC 2020 v5.22.x およびそれ以前
当該製品で使用しているライブラリ「libexpat」(2.6.3.より前のバージョン)の問題であるとのことです。

詳細情報

SUBNET Solutionsが提供するPowerSYSTEM Centerで使用されているライブラリ「libexpat」には、次の複数の脆弱性が存在します。

  • 関数XML_ParseBuffer()において、引数lenに負の値を渡されてもそのまま使用してしまう(CWE-1284)-CVE-2024-45490
  • 32bitプラットフォームでは、関数dtdCopy()のなかで変数nDefaultAttsを使った演算で整数オーバーフローが発生する可能性がある(CWE-190)-CVE-2024-45491
  • 32bitプラットフォームでは、関数nextScaffoldPart()のなかで変数m_groupSizeを使った演算で整数オーバーフローが発生する可能性がある(CWE-190)-CVE-2024-45492

想定される影響

脆弱性を悪用された場合、サービス運用妨害(DoS)状態にされたり任意のコードを実行されたりする可能性があります。

対策方法

アップデートする
開発者は、使用するライブラリを更新したPowerSYSTEM Center 2020 Update 23リリースを提供するとのことです。

ベンダ情報

ベンダ リンク
SUBNET Solutions Inc. Contact

参考情報

  1. ICS Advisory | ICSA-24-317-01
    Subnet Solutions PowerSYSTEM Center

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia