公開日:2020/05/27 最終更新日:2020/05/27

JVNVU#98489402
Johnson Controls 製 Kantech EntraPass におけるアクセス制限不備の脆弱性

概要

Johnson Controls が提供する Kantech EntraPass には、アクセス制限不備の脆弱性が存在します。

影響を受けるシステム

  • Kantech EntraPass Special Edition v8.22 を含むすべてのバージョン
  • Kantech EntraPass Corporate Edition v8.22 を含むすべてのバージョン
  • Kantech EntraPass Global Edition v8.22 を含むすべてのバージョン

詳細情報

Kantech EntraPass は Johnson Controls が提供するカードキー型ドア制御システム向け管理ソフトウェアです。Kantech EntraPass にはアクセス制限不備 (CWE-284) の脆弱性が存在します。

想定される影響

一般ユーザ権限でログインしたユーザによって、重要なファイルが特別に細工されたファイルに置き換えられることで、結果としてシステム権限を取得される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性を修正した Kantech Entrapss v8.23 が各エディションにリリースされています。

ベンダ情報

ベンダ リンク
Johnson Controls JCI-PSA-2020-6 v1

参考情報

  1. ICS Advisory (ICSA-20-147-02)
    Johnson Controls Kantech EntraPass

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9046

JVN iPedia