| 概要 | An exploitable denial-of-service vulnerability exists in the IPv4 functionality of Allen-Bradley MicroLogix 1100 Programmable Logic Controller Systems Series B FRN 16.000, Series B FRN 15.002, Series B FRN 15.000, Series B FRN 14.000, Series B FRN 13.000, Series B FRN 12.000, Series B FRN 11.000 and Series B FRN 10.000. A specially crafted packet can cause a major error, resulting in a denial of service. An attacker can send a malicious packet to trigger this vulnerability. |
|---|---|
| 公表日 | 2020年12月3日22:15 |
| 登録日 | 2021年1月26日12:00 |
| 最終更新日 | 2024年11月21日14:35 |
| CVSS3.1 : HIGH | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | 高 |
| CVSS2.0 : MEDIUM | |
| スコア | 5.0 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | 低 |
| 全ての特権を取得 | いいえ |
| ユーザー権限を取得 | いいえ |
| その他の権限を取得 | いいえ |
| ユーザー操作が必要 | いいえ |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:10.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:11.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:12.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:13.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:14.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:15.000:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:15.002:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:rockwellautomation:micrologix_1100_b_firmware:16.000:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:rockwellautomation:micrologix_1100:-:*:*:*:*:*:*:* | ||||
| タイトル | Rockwell Automation 製 Allen-Bradley Micrologix 1100 に長さパラメータの不整合時の不適切な取り扱いの脆弱性 |
|---|---|
| 概要 | Rockwell Automation 製 Allen-Bradley Micrologix 1100 は、プログラマブルロジックコントローラです。当該製品は長さパラメータの不整合時の不適切な取り扱いの脆弱性 (CWE-130) が存在し、無効な IPv4 パケット長の値が含まれている ICMP パケットを処理する際に例外が発生する可能性があります。 |
| 想定される影響 | 遠隔の第三者によって、送信された不正な形式のパケットを受信することで、サービス運用妨害 (DoS) 状態になるおそれがあります。 復旧のためには、当該製品の電源を入れなおし、プロジェクトを再ダウンロードする必要があります。 |
| 対策 | [代替製品を利用する] 開発者は、MicroLogix 1400 へ移行したうえで、 firmware v21.006 およびそれ以降のファームウェアを適用することを推奨しています。 [ワークアラウンドを実施する] 次の回避策を適用することで、本脆弱性の影響を軽減できます。 * ファイアウォールなどの適切なネットワーク制御を利用して、許可されていない送信元からの通信をブロックする * 製品のドキュメントを参照し、ハードウェアキーモード設定など不正な変更をブロックする機能を利用する * TCP/UDP ポート 2222 およびポート 44818 へのアクセスをブロックまたは制限することにより、機器に対する外部ネットワークからの全トラフィックをブロックする (RockwellAutomation製品で使用される TCP/UDP ポートの詳細は、開発者が提供する情報 (要ログイン) を参照してください。) |
| 公表日 | 2021年2月17日0:00 |
| 登録日 | 2021年2月18日17:36 |
| 最終更新日 | 2021年2月18日17:36 |
| Rockwell Automation |
| Allen-Bradley Micrologix 1100 revision number 1.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年02月18日] 掲載 |
2021年2月18日17:36 |