横河電機、CENTUMとExaopcに任意のファイルに読み書き可能な脆弱性を確認

  • 元記事:YSAR-14-0003: CENTUM とExaopc に任意のファイル読み書きの脆弱性
  • HP:横河電機
  • 発表日時 2014/9/17

    横河電機のCENTUMとExaopcに任意のファイルに読み書き可能な脆弱性が確認された。影響を受けるのはCENTUM CS 3000 R3.09.50とそれ以前、CENTUM CS 3000 Small R3.09.50とそれ以前、CENTUM VP R4.03.00とそれ以前、R5.04.00とそれ以前、CENTUM VP Small R4.03.00とそれ以前、R5.04.00とそれ以前、CENTUM VP Basic R4.03.00とそれ以前、R5.04.00とそれ以前、Exaopc R3.72.10とそれ以前でバッチ制御機能がインストールされている場合が該当する。この脆弱性が悪用されると、バッチ管理プロセスに対し特定の通信フレームを送信するとドライブ上のユーザ権限でアクセスできる任意のファイルを読み書きされる恐れがある。同社はこの脆弱性に対するパッチを9月末に提供予定で、それまでの軽減策としてファイアーウォールでTCPポート20111番への通信の遮断やバッチ制御機能を持つCENTUM同心のみの許可、ExaopcのTCPポート20111番への通信を遮断するなどによりこの脆弱性のリスクを軽減できる。