公開日:2022/08/25 最終更新日:2022/08/25

JVNVU#98981754
Measuresoft製ScadaPro ServerおよびClientにおける複数の脆弱性

概要

Measuresoft社が提供するScadaPro ServerおよびClientには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-2892

  • ScadaPro Server 6.8.0.1より前のバージョン
CVE-2022-2894、CVE-2022-2895、CVE-2022-2896、CVE-2022-2897、CVE-2022-2898
  • ScadaPro ServerおよびClient すべてのバージョン

詳細情報

Measuresoft社が提供するScadaPro ServerおよびClientには、次の複数の脆弱性が存在します。

  • 境界外書き込み (CWE-787) - CVE-2022-2892
  • 信頼できないポインタの参照 (CWE-822) - CVE-2022-2894
  • スタックベースのバッファオーバーフロー (CWE-121) - CVE-2022-2895
  • 解放済みメモリの使用 (CWE-416) - CVE-2022-2896
  • ファイルアクセス時のリンク解釈が不適切 (CWE-59) - CVE-2022-2897、CVE-2022-2898

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルネットワーク上の第三者によって、任意のコードを実行される - CVE-2022-2892、CVE-2022-2894、CVE-2022-2895、CVE-2022-2896
  • ローカルネットワーク上のユーザによって、権限昇格される - CVE-2022-2897
  • ローカルネットワーク上のユーザによって、サービス運用妨害(DoS)状態にされる - CVE-2022-2898

対策方法

CVE-2022-2892
アップデートする
開発者は、アップデートを提供しています。

CVE-2022-2894、CVE-2022-2895、CVE-2022-2896、CVE-2022-2897、CVE-2022-2898
2022年8月24日現在、開発者は対策を準備中とのことです。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Measuresoft LATEST DOWNLOADS

参考情報

  1. ICS Advisory (ICSA-22-235-05)
    Measuresoft ScadaPro Server
  2. ICS Advisory (ICSA-22-235-06)
    Measuresoft ScadaPro Server and Client

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia