GC-A2シリーズバージョンアップのお知らせ
いつも弊社製品をご愛顧頂き、ありがとうございます。この度、プログラマブル表示器GC-A2シリーズ用作画ツールScreen Creator Advance2、
およびGC-A2ファームウエアのバージョンアップを行いましたのでお知らせ致します。

「主な更新内容」

■脆弱性改善、不具合修正、など
詳細はバージョン履歴表を参照

▼更新ファイル▼
TOP ＞ ダウンロード＞  HMI

■GC-A2シリーズ日本語版■
Screen Creator Advance2 ソフト日本語版 Ver.0.1.1.3 Build01

■脆弱性改善について
1.脆弱性概要
Screen Creator Advance 2 に脆弱性が発見されましたので、その内容と対処方法をお知らせします。内容をご確認の上、以下の対処を実施いただきますよう、お願い申し上げます。

2.対象製品
製品名：Screen Creator Advance 2
バージョン：Ver.0.1.1.3 Build01 より前

3.説明
Ver.0.1.1.3 Build01より前のScreen Creator Advance 2には、ある複数の条件を満たした状態で遠隔操作を試みると認証情報を入力せずに認証できてしまう脆弱性が存在します。

本脆弱性は次の条件を満たす場合にのみ再現します。
・Screen Creator Advance 2の機能一覧 -> パネルの設定 -> リモートで”タブレットを使用する”のチェックボックスを有効にしている。
・リモートの”アカウント #1”もしくは”アカウント #2”のチェックボックスを有効にしている。
・パスワードを有効にしているが、アカウント名の文字数が0文字になっている。

以上の条件をすべて満たしているプロジェクトをHMIで稼働させている場合に脆弱性が有効になってしまいます。
脆弱性の条件を全て満たしている場合に遠隔操作アプリケーション”Remote GC”によって遠隔操作を試みると、本来は認証情報を入力しなければログインできないのですが、認証情報なしでログインできてしまいます。

JVN ID: JVN#50337155

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N ベーススコア: 4.0
CVSS v2 AV:L/AC:L/Au:N/C:P/I:N/A:Nベーススコア: 2.1

4.影響

次の製品が影響を受けます。
HMI GC-A2シリーズ

GC-A22W-CW
GC-A24W-C(W)
GC-A26W-C(W)
GC-A24
GC-A24-M
GC-A25
GC-A26
GC-A26-J2

遠隔操作⽤アプリケーション
Remote GC

5.解決方法
Ver.0.1.1.3 Build01以降のScreen Creator Advance2のインストールをお願い申し上げます。インストールされましたScreen Creator Advance2を使用して機能一覧 -> パネルの設定 -> リモート の再設定を実施していただき、HMIに再設定していただきましたプロジェクトを転送いただきたくお願い申し上げます。