CVE-2020-6998
| Summary |
The connection establishment algorithm found in Rockwell Automation CompactLogix 5370 and ControlLogix 5570 versions 33 and prior does not sufficiently manage its control flow during execution, creating an infinite loop. This may allow an attacker to send specially crafted CIP packet requests to a controller, which may cause denial-of-service conditions in communications with other products.
|
| Publication Date |
July 28, 2022, 6:15 a.m. |
| Registration Date |
July 28, 2022, 10 a.m. |
| Last Update |
Nov. 21, 2024, 2:36 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
8.6
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
高 |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:armor_compact_guardlogix_5370_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:armor_compact_guardlogix_5370:-:*:*:*:*:*:*:* |
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:compact_guardlogix_5370_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:compact_guardlogix_5370:-:*:*:*:*:*:*:* |
| Configuration3 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l1_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:compactlogix_5370_l1:-:*:*:*:*:*:*:* |
| Configuration4 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l2_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:compactlogix_5370_l2:-:*:*:*:*:*:*:* |
| Configuration5 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:compactlogix_5370_l3_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:compactlogix_5370_l3:-:*:*:*:*:*:*:* |
| Configuration6 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:controllogix_5570_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:controllogix_5570:-:*:*:*:*:*:*:* |
| Configuration7 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:guardlogix_5560_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:guardlogix_5560:-:*:*:*:*:*:*:* |
| Configuration8 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:guardlogix_5570_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:guardlogix_5570:-:*:*:*:*:*:*:* |
| Configuration9 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:rockwellautomation:guardlogix_5580_firmware:*:*:*:*:*:*:*:* |
|
33 |
|
|
| execution environment |
| 1 |
cpe:2.3:h:rockwellautomation:guardlogix_5580:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の Rockwell Automation 製品に不適切な入力確認の脆弱性
| Title |
複数の Rockwell Automation 製品に不適切な入力確認の脆弱性
|
| Summary |
Rockwell Automation 社が提供する CompactLogix 5370 コントローラおよび ControlLogix 5570 コントローラには、不適切な入力確認の脆弱性 (CWE-20) が存在します。 当該製品の CIP (Common Industrial Protocol) 接続確立アルゴリズム実行中の制御フロー管理に不備があり、無限ループが作成される可能性があります。
|
| Possible impacts |
遠隔の第三者によって細工された CIP パケットを受信することで、他の製品との通信においてサービス運用妨害 (DoS) 攻撃を受ける可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 |
| Publication Date |
March 4, 2021, midnight |
| Registration Date |
March 5, 2021, 3:44 p.m. |
| Last Update |
June 14, 2024, 11:43 a.m. |
Affected System
| Rockwell Automation |
|
Armor Compact GuardLogix 5370 コントローラ バージョン 33 およびそれ以前
|
|
Armor GuardLogix, Safety コントローラ バージョン 33 およびそれ以前
|
|
Compact GuardLogix 5370 コントローラ バージョン 33 およびそれ以前
|
|
CompactLogix 5370 L1 コントローラ バージョン 33 およびそれ以前
|
|
CompactLogix 5370 L2 コントローラ バージョン 33 およびそれ以前
|
|
CompactLogix 5370 L3 コントローラ バージョン 33 およびそれ以前
|
|
ControlLogix 5570 コントローラ バージョン 33 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年03月05日]
掲載 |
March 5, 2021, 3:44 p.m. |
| 2 |
[2021年03月25日]
ベンダ情報:Rockwell Automation (Rockwell Automation Advisory (要ログイン)) を追加 |
March 25, 2021, 2:12 p.m. |
| 3 |
[2024年06月14日]
参考情報:National Vulnerability Database (NVD) (CVE-2020-6998) を追加 |
June 14, 2024, 11:42 a.m. |