| Title | CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性 |
|---|---|
| Summary | 横河電機株式会社が提供する CENTUM および Exaopc には、BKBCopyD.exe の処理に問題があり、任意のファイルにアクセス可能な脆弱性が存在します。 なお、National Vulnerability Database (NVD) では、CWE-284 として公開されています。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html |
| Possible impacts | 細工された通信フレームを 20111/tcp に送信されることで、ユーザの権限で任意のファイルを取得されたり作成されたりする可能性があります。 |
| Solution | [パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 開発者によると、2014年9月末から、対応するパッチが順次リリースされるとのことです。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 ・20111/tcp へのアクセスを制限する 詳しくは、開発者が提供する情報 (YSAR-14-000) をご確認ください。 YSAR-14-000 http://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf |
| Publication Date | Sept. 17, 2014, midnight |
| Registration Date | Sept. 18, 2014, 3:06 p.m. |
| Last Update | Dec. 24, 2014, 5:59 p.m. |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| 横河電機株式会社 |
| CENTUM CS 3000 |
| CENTUM CS 3000 Entry Class |
| CENTUM CS 3000 Entry Class ソフトウェア R3.09.50 およびそれ以前 |
| CENTUM CS 3000 ソフトウェア R3.09.50 およびそれ以前 |
| CENTUM VP |
| CENTUM VP Entry Class |
| CENTUM VP Entry Class ソフトウェア R4.03.00 まで |
| CENTUM VP Entry Class ソフトウェア R5.04.00 までの R5.x |
| CENTUM VP ソフトウェア R4.03.00 まで |
| CENTUM VP ソフトウェア R5.04.00 までの R5.x |
| Exaopc |
| Exaopc ファームウェア R3.72.10 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2014年09月18日] 掲載 [2014年12月24日] 概要:内容を更新 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:横河電機株式会社 (YSAR-14-0003E) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2014-5208) を追加 CWE による脆弱性タイプ一覧:CWE-ID を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | BKBCopyD.exe in the Batch Management Packages in Yokogawa CENTUM CS 3000 through R3.09.50 and CENTUM VP through R4.03.00 and R5.x through R5.04.00, and Exaopc through R3.72.10, does not require authentication, which allows remote attackers to read arbitrary files via a RETR operation, write to arbitrary files via a STOR operation, or obtain sensitive database-location information via a PMODE operation, a different vulnerability than CVE-2014-0784. |
|---|---|
| Publication Date | Dec. 23, 2014, 2:59 a.m. |
| Registration Date | Jan. 26, 2021, 3:14 p.m. |
| Last Update | Nov. 21, 2024, 11:11 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:yokogawa:exaopc:*:*:*:*:*:*:*:* | 3.71.10 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:yokogawa:exaopc:-:*:*:*:*:*:*:* | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.02:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.03:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.05:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.06:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.07:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08.50:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08.70:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.09:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.09.50:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:yokogawa:centum_cs_3000:-:*:*:*:*:*:*:* | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:a:yokogawa:centum_vp:*:*:*:*:*:*:*:* | r4.03.00 | ||||
| cpe:2.3:a:yokogawa:centum_vp:r5.01.00:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.01.20:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.02.00:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.03.00:*:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:yokogawa:centum_vp:-:*:*:*:*:*:*:* | ||||