1. ホーム
  2. サポート
アーティクル - CS375312

PTC Kepware 製品で特定されたセキュリティの脆弱性

修正日: 04-Nov-2022   


注記:ここに記載されている情報は、お客様の利便性向上のため機械翻訳ソフトを使用しています。PTCは、ここに記載されている情報の翻訳の正確性について、一切の責任を負いませんので、ご了承ください。英語の原文を参照するには、こちら。この機械翻訳に関する詳細は、こちら。
お知らせいただき、ありがとうございます。この機械翻訳をレビューします。

適用対象

  • KEPServerEX 5.20.396.0 to 6.11
  • ThingWorx Kepware Server 8.0 to 6.11
  • ThingWorx Kepware Edge 1.0 to 1.4
Applies To
The following products are affected by the vulnerabilities found in PTC Kepware Products, a connectivity platform:
  • ThingWorx Industrial Connectivity: All versions
  • OPC-Aggregator: v6.11 or lower
The following products also may have a vulnerable component:
  • Rockwell Automation KEPServer Enterprise: v6.11 or lower
  • GE Digital Industrial Gateway Server: v7.611 or lower
  • Software Toolbox TOP Server: v6.11 or lower

説明

  • CISA アドバイザリー:ここをクリック
  • CVSS 3.1 スコア:  9.1 クリティカル
  • CVSS 3.1 ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • CWE :ヒープベースのバッファ オーバーフロー CWE-122
  • 特別に細工された OPC UA メッセージがサーバーに送信されると、攻撃者がサーバーをクラッシュさせ、データを漏えいさせる可能性があります
  • 一般的な脆弱性と露出:  この脆弱性には CVE-2022-2848 が割り当てられています
  • 研究者の帰属: Vera Mens、Uri Katz、Claroty Research の Sharon Brizinov は、Trend Micro の Zero Day Initiative に協力しています
  • CVSS 3.1 スコア:  9.8 クリティカル
  • CVSS 3.1 ベクトル文字列: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • CWE :スタックベースのバッファ オーバーフロー CWE-121
  • サーバーに送信される特別に細工された OPC UA メッセージにより、攻撃者がサーバーをクラッシュさせ、コードをリモートで実行する可能性があります
  • 一般的な脆弱性と露出:  この脆弱性には CVE-2022-2825 が割り当てられています
  • 研究者の帰属: Vera Mens、Uri Katz、Claroty Research の Sharon Brizinov は、Trend Micro の Zero Day Initiative に協力しています
  • OPC UA インターフェイスをオフにしているお客様は脆弱ではありません
    • このインターフェイスは、インストール後にデフォルトでオンになっていることに注意してください。
    • インターフェイスを無効にするには、 CS336588の手順に従ってください
最新バージョンはこちらを参照ください CS375312