横河電機のWindowsアプリケーションにおける脆弱性情報を更新
IPAおよびJPCERT/CCは、横河電機株式会社が提供する複数のWindowsアプリケーションにおける脆弱性について「JVN」の情報を更新した。
脆弱性と脅威
セキュリティホール・脆弱性
この脆弱性は、同社が提供する複数のWindowsアプリケーションに、Windowsサービスの実行ファイルパスが引用符で囲まれていないというもの(CVE-2019-6008)。
この脆弱性が悪用されると、Windowsサービスの実行ファイルパスに空白文字が含まれ、かつ引用符で囲まれていない場合に、空白文字を含むパスを利用して、当該サービスの権限で不正なファイルが実行される可能性がある。
今回、この脆弱性の影響を受けるシステム、および対策方法が更新されている。最新情報は次の通り。
Exaopc (R1.01.00 - R3.77.00)
Exaplog (R1.10.00 - R3.40.00)
Exaquantum (R1.10.00 - R3.15.00)
Exaquantum/Batch (R1.01.00 - R3.10.00)
Exasmoc (全レビジョン)
Exarqe (全レビジョン)
GA10 (R1.01.01 - R3.05.01)
InsightSuiteAE (R1.01.00 - R1.06.00)
ProSafe-RS (R1.01.00 - R4.04.00)
IAシステム製品仮想化プラットフォーム (R1.01.00) (Thin Client のみ)
PRM (R4.01.00 - R4.03.00)
フィールド無線用OPCサーバ (R2.01.00, R2.01.01, R2.01.03, R2.01.10)
Exapilot (R1.01.00 - R3.98.10)
STARDOM VDS (R4.01 - R8.10)
STARDOM FCN/FCJ OPC サーバ for Windows (R1.01 - R4.20)
製品により、アップデートあるいはパッチの適用と対策方法が異なる。また、ExasmocおよびExarqeは、全レビジョンにおいてサポートが終了している。
《吉澤 亨史( Kouji Yoshizawa )》