| タイトル | CENTUM および Exaopc において任意のファイルにアクセス可能な脆弱性 |
|---|---|
| 概要 | 横河電機株式会社が提供する CENTUM および Exaopc には、BKBCopyD.exe の処理に問題があり、任意のファイルにアクセス可能な脆弱性が存在します。 なお、National Vulnerability Database (NVD) では、CWE-284 として公開されています。 補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html |
| 想定される影響 | 細工された通信フレームを 20111/tcp に送信されることで、ユーザの権限で任意のファイルを取得されたり作成されたりする可能性があります。 |
| 対策 | [パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 開発者によると、2014年9月末から、対応するパッチが順次リリースされるとのことです。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 ・20111/tcp へのアクセスを制限する 詳しくは、開発者が提供する情報 (YSAR-14-000) をご確認ください。 YSAR-14-000 http://www.yokogawa.co.jp/dcs/security/ysar/YSAR-14-0003.pdf |
| 公表日 | 2014年9月17日0:00 |
| 登録日 | 2014年9月18日15:06 |
| 最終更新日 | 2014年12月24日17:59 |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| 横河電機株式会社 |
| CENTUM CS 3000 |
| CENTUM CS 3000 Entry Class |
| CENTUM CS 3000 Entry Class ソフトウェア R3.09.50 およびそれ以前 |
| CENTUM CS 3000 ソフトウェア R3.09.50 およびそれ以前 |
| CENTUM VP |
| CENTUM VP Entry Class |
| CENTUM VP Entry Class ソフトウェア R4.03.00 まで |
| CENTUM VP Entry Class ソフトウェア R5.04.00 までの R5.x |
| CENTUM VP ソフトウェア R4.03.00 まで |
| CENTUM VP ソフトウェア R5.04.00 までの R5.x |
| Exaopc |
| Exaopc ファームウェア R3.72.10 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2014年09月18日] 掲載 [2014年12月24日] 概要:内容を更新 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:横河電機株式会社 (YSAR-14-0003E) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2014-5208) を追加 CWE による脆弱性タイプ一覧:CWE-ID を追加 |
2018年2月17日10:37 |
| 概要 | BKBCopyD.exe in the Batch Management Packages in Yokogawa CENTUM CS 3000 through R3.09.50 and CENTUM VP through R4.03.00 and R5.x through R5.04.00, and Exaopc through R3.72.10, does not require authentication, which allows remote attackers to read arbitrary files via a RETR operation, write to arbitrary files via a STOR operation, or obtain sensitive database-location information via a PMODE operation, a different vulnerability than CVE-2014-0784. |
|---|---|
| 公表日 | 2014年12月23日2:59 |
| 登録日 | 2021年1月26日15:14 |
| 最終更新日 | 2024年11月21日11:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:yokogawa:exaopc:*:*:*:*:*:*:*:* | 3.71.10 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:yokogawa:exaopc:-:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.01:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.02:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.03:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.05:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.06:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.07:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08.50:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.08.70:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.09:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_cs_3000:r3.09.50:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:yokogawa:centum_cs_3000:-:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:yokogawa:centum_vp:*:*:*:*:*:*:*:* | r4.03.00 | ||||
| cpe:2.3:a:yokogawa:centum_vp:r5.01.00:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.01.20:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.02.00:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:yokogawa:centum_vp:r5.03.00:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:yokogawa:centum_vp:-:*:*:*:*:*:*:* | ||||