JVNVU#97997181
横河電機製 CAMS for HIS に複数の脆弱性

横河電機株式会社が提供する CAMS for HIS には、複数の脆弱性が存在します。

• CENTUM CS 3000 (CENTUM CS 3000 Small 含む) R3.08.10 から R3.09.50 まで
  • ただし LHS4800(CAMS for HIS) をインストールしている場合のみ
• CENTUM VP (CENTUM VP Small, Basic 含む) R4.01.00 から R4.03.00 まで
  • ただし CAMS の機能を使用している場合のみ
• CENTUM VP (CENTUM VP Small, Basic 含む) R5.01.00 から R6.07.00 まで
• Exaopc R3.72.00 から R3.78.00 まで
  • ただし NTPF100-S6「CENTUM VP 用CAMS for HIS 対応」をインストールしている場合のみ
• B/M9000CS R5.04.01 から R5.05.01 まで
• B/M9000 VP R6.01.01 から R8.03.01 まで

詳しくは、開発者が提供する情報をご確認ください。

横河電機株式会社が提供する CAMS for HIS には、次の複数の脆弱性が存在します。

• 不適切な認証 (CWE-287) - CVE-2020-5608

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 8.1

• パストラバーサル (CWE-22) - CVE-2020-5609

  CVSS v3

  CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

  基本値: 8.1

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 認証されていない第三者によって、細工された通信パケットを送信される - CVE-2020-5608
• 認証されていない第三者によって、任意の場所にファイルの作成や上書きをされたり、任意のコマンドを実行されたりする - CVE-2020-5609

アップグレードする
開発者によると、次の製品およびバージョンを使用している場合は、保守期間が終了しており対策は提供されないため、最新の CENTUM VP へのアップグレードを推奨するとのことです。

• CENTUM CS 3000 (CENTUM CS 3000 Small 含む) R3.08.10 から R3.09.50 まで
• CENTUM VP (CENTUM VP Small, Basic 含む) R4.01.00 から R4.03.00 まで

また、次の製品およびバージョンは、本脆弱性の影響を受けないとのことですが、併せてインストールされる CENTUM CS 3000 、CENTUM VP が本脆弱性の影響をうけるため、最新の CENTUM VP へアップグレードする場合は、それぞれの製品も併せてアップグレードすることが推奨されるとのことです。

• B/M9000CS R5.04.01 から R5.05.01 まで
• B/M9000 VP R6.01.01 から R8.03.01 まで

アップデートする
次の製品およびバージョンに関しては、アップデートが提供されています。修正対応済みの Exaopc R3.78.10 およびそれ以降へアップデートしてください。

• Exaopc R3.72.00 から R3.78.00 まで

パッチを適用する
次の製品を使用している場合は、それぞれの製品に対応した最新レビジョンにアップデートしたうえで、各バージョンに対応したパッチを適用してください。

• CENTUM VP (CENTUM VP Small, Basic 含む) R5.01.00 から R5.04.20 まで
• CENTUM VP (CENTUM VP Small, Basic 含む) R6.01.00 から R6.07.00 まで

詳しくは、開発者が提供する情報をご確認ください。