JVNDB-2011-001709

RSLinx Classic EDS Hardware Installation Tool にバッファオーバーフローの脆弱性

RSLinx Classic EDS Hardware Installation Tool には、バッファオーバーフローの脆弱性が存在します。

Rockwell Automation が提供する RSLinx Classic EDS Hardware Installation Tool には、EDS ファイルのフォーマット処理に起因するバッファオーバーフローの脆弱性が存在します。

Rockwell Automation

• RSLinx Classic EDS Hardware Installation Tool 1.0.5.1 およびそれ以前

細工された EDS ファイルを開くことで、サービス運用妨害 (DoS) 攻撃を受けたり、任意のコードを実行されたりする可能性があります。

[アップデートする]
Rockwell Automation が提供する情報をもとにアップデートを適用してください。

なお、開発者より以下の情報が公開されています。

　　* 当該製品を実行している機器に対する物理アクセスを制限する
　　* 当該製品の使用に関する適切なポリシーを策定する
　　* EDS ファイルは信頼できる関係者（製品ベンダなど）から受け取る
　　* パッチ（Aid 276774）を適用する

[ワークアラウンドを実施する]
パッチを適用するまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

　　* Enhanced Mitigation Experience Toolkit (EMET) を利用する

Rockwell Automation

• Rockwell Automation : RSLinx Classic Overview from Rockwell Software
• Rockwell Automation : Rockwell Automation's security advisory （Registered Users Only)
• Rockwell Automation : Rockwell Automation's Patch Aid 276774 （Registered Users Only)

1. JVN : JVNVU#127584
2. US-CERT Vulnerability Note : VU#127584

• [2011年06月17日]
    掲載