最終更新日: 2019/10/02
情報源
Japan Vulnerability Notes JVNVU#98228725
横河製品が登録する Windows サービスで実行ファイルのパスが引用符で囲まれていない脆弱性
https://jvn.jp/vu/JVNVU98228725/
概要
横河電機株式会社が提供する複数の Windows アプリケーションには、脆弱性があります。結果として、第三者が、該当するアプリケーションを実行している Windows サービスの権限において、任意のファイルを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Exaopc R1.01.00 から R3.77.00 までのバージョン
– Exaplog R1.10.00 から R3.40.00 までのバージョン
– Exaquantum R1.10.00 から R3.02.00 までのバージョン
– Exaquantum/Batch R1.01.00 から R2.50.40 までのバージョン
– GA10 R1.01.01 から R3.05.01 までのバージョン
– InsightSuiteAE R1.01.00 から R1.06.00 までのバージョン
なお、2019年9月30日にサポートが終了している Exasmoc および Exarqe についても本脆弱性の影響を受けるとのことです。
この問題は、該当する製品を横河電機株式会社が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、横河電機株式会社が提供する情報を参照してください。
関連文書 (日本語)
横河電機株式会社
YSAR-19-0003: 横河製品が登録するWindowsサービスで実行ファイルのパスが引用符で囲まれていない脆弱性
https://web-material3.yokogawa.com/19/28032/files/YSAR-19-0003-J.pdf
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-02」
https://www.jpcert.or.jp/wr/2019/wr193801.html