JVNDB-2024-003090

複数の Rockwell Automation 製品における不適切な入力確認の脆弱性

Rockwell Automation が提供する複数の PLC 製品には、次の脆弱性が存在します。

　* 不適切な入力確認 (CWE-20) - CVE-2024-3493

Rockwell Automation

• 1756-en4tr ファームウェア V5.001
• Compact GuardLogix 5380 コントローラファームウェア V35.011
• CompactLogix 5380 Process V35.011
• CompactLogix 5380 コントローラファームウェア V35.011
• CompactLogix 5480 コントローラファームウェア V35.011
• ControlLogix 5580 Process V35.011
• ControlLogix 5580 コントローラファームウェア V35.011
• GuardLogix 5580 コントローラファームウェア V35.011

不正な形式で断片化されたパケットの処理時にサービス運用妨害 (DoS) 状態となり、結果として接続されている機器の画面表示や制御が失われる可能性があります。

[アップデートする]
開発者から提供されている下記の修正版にアップデートしてください。

　* ControlLogix 5580：V35.013 または V36.011 およびそれ以降
　* GuardLogix 5580：V35.013 または V36.011 およびそれ以降
　* CompactLogix 5380：V35.013 または V36.011 およびそれ以降
　* 1756-EN4TR：V6.001 およびそれ以降
　* Compact GuardLogix 5380：V35.013 または V36.011 およびそれ以降
　* ControlLogix 5580 Process：V35.013 または V36.011 およびそれ以降
　* CompactLogix 5380 Process：V35.013 または V36.011 およびそれ以降
　* CompactLogix 5480：V35.013 または V36.011 およびそれ以降

Rockwell Automation

• Rockwell Automation : SD1666 | ControlLogix and GuardLogix Vulnerable to major nonrecoverable fault due to Invalid Header Value
• Rockwell Automation : Security Best Practices (要ログイン)

1. 不適切な入力確認(CWE-20) [その他]

1. CVE-2024-3493

1. JVN : JVNVU#93358472
2. ICS-CERT ADVISORY : ICSA-24-107-03

• [2024年04月18日]
    掲載
• [2024年05月13日]
    影響を受けるシステム：内容を更新
    対策：内容を更新