JVNVU#94921886
複数の ABB 製品における複数の脆弱性

ABB から各製品向けのアップデートが公開されました。

• OPC Server for AC 800M Versions 6.0 およびそれ以前
• Control Builder M Professional Versions 6.1 およびそれ以前
• MMS Server for AC 800M Versions 6.1 およびそれ以前
• Base Software for SoftControl Versions 6.1 およびそれ以前
• ABB System 800xA Base: Versions 6.1 およびそれ以前

• System 800xA Base Versions 6.0 およびそれ以前

• OPC Server for AC 800M すべてのバージョン
• MMS Server for AC 800M すべてのバージョン
• Base Software for SoftControl すべてのバージョン
• ABB System 800xA Base すべてのバージョン
• 800xA for DCI すべてのバージョン
• 800xA for MOD 300 すべてのバージョン
• 800xA RNRP すべてのバージョン
• 800xA Batch Managemen すべてのバージョン
• 800xA Information Management すべてのバージョン

• ABB Ability System 800xA and related system extensions Versions 5.1, 6.0, 6.1
• Compact HMI Versions 5.1, 6.0
• Control Builder Safe Versions 1.0, 1.1, 2.0
• ABB Ability Symphony Plus – S+ Operations Versions 3.0 to 3.2
• ABB Ability Symphony Plus – S+ Engineering Versions 1.1 to 2.2
• Composer Harmony: Versions 5.1, 6.0, 6.1
• Composer Melody (incl. SPE for Melody 1.0 SPx) Versions 5.3, 6.1, 6.2, 6.3
• Harmony OPC Server (HAOPC) Standalone Versions 6.0, 6.1, 7.0
• ABB Ability System 800xA / Advant OCS Control Builder A Versions 1.3, 1.4
• Advant OCS AC 100 OPC Server Versions 5.1, 6.0, 6.1
• Composer CTK Versions 6.1, 6.2
• AdvaBuild Versions 3.7 SP1, 3.7 SP2
• OPC Server MOD 300 (non-800xA) Version 1.4
• OPC Data Link Versions 2.1, 2.2
• ABB Ability Knowledge Manager Versions 8.0, 9.0, 9.1
• ABB Ability Manufacturing Operations Management Versions 1812, 190

• 低い権限しか与えられていないユーザによって、System 800xA のシステムフォルダ内のファイルを読み取り、変更、追加、削除される - CVE-2020-8472
• 低い権限しか与えられていないユーザによって、アプリケーションが破壊される - CVE-2020-8473

• 低い権限しか与えられていないユーザによって、System 800xA 関連の Windows のレジストリ値を読み取り、変更、追加、削除される - CVE-2020-8474

• 第三者によって、細工されたデータなどを注入され、Control Builder のオンラインビューが影響を受ける - CVE-2020-8478
• 第三者によって、細工されたデータなどを注入され、800xA for DCI のプロセスをクラッシュされる - CVE-2020-8484
• 第三者によって、細工されたデータなどを注入され、コントローラへの読み書きを許可したり、800xA for MOD 300 のプロセスをクラッシュされる - CVE-2020-8485
• 第三者によって、細工されたデータなどを注入され、他の端末への通信を妨害される。シミュレーションモードの場合はシミュレーションされたクロックが影響を受ける - CVE-2020-8486, CVE-2020-8487
• 第三者によって、細工されたデータなどを注入され、バッチ実行中の UI の更新やバッチの比較、印刷機能が影響を受ける。 - CVE-2020-8488
• 第三者によって、細工されたデータなどを注入され、アーカイブに保存される実行時の値が影響を受け、情報管理履歴サービスが使用できなくなる - CVE-2020-8489

• 低い権限しか与えられていないユーザによって、ネットワーク経由で機微なデータを読み取りされる。また、コンピュータを完全に制御される - CVE-2020-8481
• 遠隔の第三者によって、ライセンスサーバやネットワークから任意のファイルを読み取りされる。また、ライセンス認証の処理をブロックされる - CVE-2020-8479
• 遠隔の第三者によって、ライセンス認証の処理をブロックされる - CVE-2020-8475
• 遠隔の第三者によって、システムネットワーク内にある正規の端末のライセンス認証が拒否される - CVE-2020-8476
• 第三者によって、ライセンス認証の処理をブロックされる。また、権限昇格や任意のコードを実行される - CVE-2020-8471

• 権限のない人員に知られている疑いがあるユーザアカウントのパスワードを変更する
• サービスアカウントへの対話型ログオンは、ローカルとリモートの両方を無効にする

• IPSec 通信を使用する
• ファイアウォールを設置し、他のネットワークからクライアントサーバネットワークを分離する

• 承認されたユーザのみが端末のユーザアカウントにアクセスできるようにする
• サービスアカウントへの対話型ログオンをブロックする