5月31日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
制御システム製品
■エマソンのAMSデバイスマネジャ(2015/05/21)
エマソン(emerson.com)のプラント機器管理システムである「AMSデバイスマネジャ」には、SQLインジェクションの脆弱性(CVE-2015-1008)が存在します。悪用された場合、管理者権限でのデータファイルアクセスを許してしまう可能性があります。
■仏シュナイダーエレクトリックのOPC FactoryServer(2015/05/21)
シュナイダーエレクトリック(schneider-electric.com)の生産プロセス管理システム「OPC Factory Server」には、システムディレクトリー上に格納された不正なDLL(ダイナミックリンクライブラリー)ファイルの読み込みに起因して、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1014)が存在します。
■OleumTechのWIO製品(2015/05/21)
OleumTech(oleumtech.com)の無線ゲートウエイ製品(WIO DH2)やセンサー無線I/Oモジュールには、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2014-2360)、情報漏洩を許してしまう脆弱性(CVE-2014-2361、CVE-2014-2362)が存在します。情報漏洩は、秘密鍵の管理が適切ではないこと、秘密鍵の生成に使用する擬似乱数が推測可能な時刻に基づいていることに起因しています。
