AVEVA製Enterprise Data Management Webに脆弱性 - JPCERT/CC

AVEVA製Enterprise Data Management Webに脆弱性 - JPCERT/CC

  • マイナビニュース
  • 更新日:2020/09/15
No image

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月11日(米国時間)、「JVNVU#99798460: AVEVA 製 Enterprise Data Management Web に SQL インジェクションの脆弱性」において、AVEVAが提供しているデータ管理プラットフォームの「Enterprise Data Management Web」にSQLインジェクションの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってリモートから任意のSQLコマンドを実行される危険性がある。

OpenSSL 1.0.2系に第三者が暗号通信を解読できる脆弱性

脆弱性に関する情報は、開発元による次のアドバイザリ(pdf文書)にまとめられている。

Aveva Software LLC. Security Advisory

AVEVAによると、この脆弱性はeDNA Webのコンポーネントに存在するもので、悪意のある攻撃者がSQLアクセス用に設定されたアカウントの権限で任意のSQLコマンドを実行するおそれがあるという。

この脆弱性の影響を受ける製品およびバージョンは次の通り。

Enterprise Data Management Web v2017より前のバージョン
Enterprise Data Management Web v2017からv2019までのバージョン

脆弱性の深刻度を表すCVSS v3のスコアは、前者が9.6、後者が9.0で、いずれも「緊急(Critical)」に分類されており、注意が必要。AVEVAでは、できるだけ早く対策版であるEnterprise Data Management Web v2019 SP1にアップグレードすることを推奨している。 v2019 SP1へのアップグレードができない場合には、eDNA Web v2018 SP2のホットフィックスを利用できる可能性があるとのことだ。

後藤大地

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加