JVNVU#99327679
複数のRockwell Automation製品における複数の脆弱性

Rockwell Automationが提供する複数の製品には、複数の脆弱性が存在します。

CVE-2024-21916

• ControlLogix 5570 Firmware バージョン 20.011
• ControlLogix 5570 redundant Firmware バージョン 20.054_kit1
• GuardLogix 5570 Firmware バージョン 20.011

• FactoryTalk Service Platform v6.4より前のバージョン

• LP30/40/50/BM40 Operator Panel バージョン V3.5.19.0より前のバージョン

Rockwell Automationが提供する複数の製品には、次の複数の脆弱性が存在します。

• メモリバッファ―エラー (CWE-119) - CVE-2024-21916
• デジタル署名の不十分な検証 (CWE-347) - CVE-2024-21917
• 入力の一貫性の不適切な検証 (CWE-1288) - CVE-2022-47378、CVE-2022-47392
• 境界外書き込み (CWE-787) - CVE-2022-47379
• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022-47386、CVE-2022-47387、CVE-2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47385
• 信頼できないポインタの参照 (CWE-822) - CVE-2022-47393

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• サービス運用妨害 (DoS) 状態にされる - CVE-2024-21916
• 認証無しでユーザ情報を取得されたり、設定を変更されたりする - CVE-2024-21917
• 認証された攻撃者によって、細工されたリクエストを介してサービス運用妨害 (DoS) 状態にされる - CVE-2022-47378、CVE-2022-47392、CVE-2022-47393
• 認証された攻撃者によって、細工されたリクエストを介してサービス運用妨害 (DoS) 状態にされたり、メモリを上書きされたり、リモートでコードを実行されたりする - CVE-2022-47379、CVE-2022-47380、CVE-2022-47381、CVE-2022-47382、CVE-2022-47383、CVE-2022-47384、CVE-2022-47386、CVE-2022-47387、CVE-2022-47388、CVE-2022-47389、CVE-2022-47390、CVE-2022-47385

アップデートする
開発者は、アップデートを提供しています。
ワークアラウンドを実施する
開発者は、アップデートに加えワークアラウンドの適用も推奨しています。

詳細は、開発者が提供する情報をご確認ください。