| Summary | The affected Baker Hughes Bentley Nevada products (3500 System 1 6.x, Part No. 3060/00 versions 6.98 and prior, 3500 System 1, Part No. 3071/xx & 3072/xx versions 21.1 HF1 and prior, 3500 Rack Configuration, Part No. 129133-01 versions 6.4 and prior, and 3500/22M Firmware, Part No. 288055-01 versions 5.05 and prior) utilize a weak encryption algorithm for storage and transmission of sensitive data, which may allow an attacker to more easily obtain credentials used for access. |
|---|---|
| Publication Date | May 25, 2022, 11:15 p.m. |
| Registration Date | May 26, 2022, 10 a.m. |
| Last Update | Nov. 21, 2024, 3:08 p.m. |
| CVSS3.1 : HIGH | |
| スコア | 7.5 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| CVSS2.0 : MEDIUM | |
| Score | 5.0 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_6.x_\(3060\/00\)_firmware:*:*:*:*:*:*:*:* | 6.98 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_6.x_\(3060\/00\):-:*:*:*:*:*:*:* | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\)_firmware:*:*:*:*:*:*:*:* | 21.1 | ||||
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\)_firmware:21.1:-:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_\(3072\/xx\):-:*:*:*:*:*:*:* | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\)_firmware:*:*:*:*:*:*:*:* | 21.1 | ||||
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\)_firmware:21.1:-:*:*:*:*:*:* | |||||
| execution environment | |||||
| 1 | cpe:2.3:h:bakerhughes:bentley_nevada_3500_system_1_\(3071\/xx\):-:*:*:*:*:*:*:* | ||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:bakerhughes:bentley_nevada_3500\/22m_\(288055-01\)_firmware:*:*:*:*:*:*:*:* | 5.05 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:bakerhughes:bentley_nevada_3500\/22m_\(288055-01\):-:*:*:*:*:*:*:* | ||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:bakerhughes:bentley_nevada_3500_rack_configuration_\(129133-01\)_firmware:*:*:*:*:*:*:*:* | 6.4 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:bakerhughes:bentley_nevada_3500_rack_configuration_\(129133-01\):-:*:*:*:*:*:*:* | ||||
| Title | Bently Nevada 製 3500 機械保護システムにおける強度が不十分なパスワードハッシュの使用の脆弱性 |
|---|---|
| Summary | Bently Nevada 社(Baker Hughes 子会社)が提供する 3500 機械保護システムには、強度が不十分なパスワードハッシュの使用の脆弱性(CWE-916、CVE-2021-32997)が存在します。 |
| Possible impacts | 当該製品は強度が不十分な暗号化アルゴリズムを使用して機微な情報を保存および転送しているため、遠隔の第三者によって認証情報を容易に窃取される可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者は、強化されたパスワードセキュリティの設定機能をサポートした次のバージョンをリリースしています。 3500 機械保護システムにて強化されたパスワードセキュリティを使用すると、Version 21.2 より前のバージョンの System 1 との通信が切断されるとのことです。 * 3500 Rack Configuration Version 6.6 * System 1 Version 21.2 [ワークアラウンドを実施する] 開発者によると、アップデートを適用できない場合には、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。 * デバイス毎にユニークなパスワードを設定する * 影響を受ける製品はセキュアなネットワーク上にのみ設置する |
| Publication Date | Feb. 25, 2022, midnight |
| Registration Date | Feb. 28, 2022, 4:09 p.m. |
| Last Update | June 26, 2024, 10:35 a.m. |
| Bently Nevada |
| 3500 Rack Configuration Part No. 129133-01 Version 6.4 およびそれ以前 (2020年5月リリース) |
| 3500/22M Firmware Part No. 288055-01 Version 5.05 およびそれ以前 (2021年5月リリース) |
| System 1 6.x 系 Part No. 3060/00 Version 6.98 およびそれ以前 (2020年12月リリース) |
| System 1 Part No. 3071/xx 系 Version 21.1 HF1 およびそれ以前 (2021年7月リリース) |
| System 1 Part No. 3072/xx 系 Version 21.1 HF1 およびそれ以前 (2021年7月リリース) |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2022年02月28日] 掲載 | Feb. 28, 2022, 2:37 p.m. |
| 2 | [2024年06月26日] CVSS による深刻度:内容を更新 参考情報:National Vulnerability Database (NVD) (CVE-2021-32997) を追加 |
June 26, 2024, 10:34 a.m. |