公開日:2024/06/28 最終更新日:2024/07/04

JVNVU#99993791
Johnson Controls製Illustra Essentials Gen 4における複数の脆弱性

概要

Johnson Controlsが提供するIllustra Essentials Gen 4には、複数の脆弱性が存在します。

影響を受けるシステム

  • Illustra Essentials Gen 4 Illustra.Ess4.01.02.10.5982およびそれ以前のバージョン

詳細情報

Johnson Controlsが提供するIllustra Essentials Gen 4には、次の複数の脆弱性が存在します。

  • 不適切な入力検証(CWE-20)-CVE-2024-32755
  • 復元可能な形式でのパスワード保存(CWE-257)-CVE-2024-32756、CVE-2024-32932
  • ログファイルからの情報漏えい(CWE-532)-CVE-2024-32757

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 想定外の文字入力を許可し、コマンドを挿入される(CVE-2024-32755)
  • 他のLinuxユーザの認証情報を復元される(CVE-2024-32756)
  • システムログに不要なユーザ情報を書き込み、Linuxユーザの認証情報を窃取される(CVE-2024-32757)
  • 他のWebインターフェイスユーザの認証情報を復元される(CVE-2024-32932)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、2024年7月11日に本脆弱性を修正したバージョンのリリースを予定しています。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory | ICSA-24-179-04
    Johnson Controls Illustra Essentials Gen 4
  2. ICS Advisory | ICSA-24-179-05
    Johnson Controls Illustra Essentials Gen 4
  3. ICS Advisory | ICSA-24-179-06
    Johnson Controls Illustra Essentials Gen 4
  4. ICS Advisory | ICSA-24-179-07
    Johnson Controls Illustra Essentials Gen 4

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/07/04
[対策方法]および[ベンダ情報]を更新しました