公開日:2022/07/29 最終更新日:2022/07/29

JVNVU#93834764
複数のRockwell Automation製品における型の取り違えの脆弱性

概要

Rockwell Automationが提供する複数の製品には、型の取り違えの脆弱性が存在します。

影響を受けるシステム

  • FactoryTalk Linx Enterprise software バージョン 6.20、6.21、6.30
  • Enhanced HIM (eHIM) for PowerFlex 6000T バージョン 1.001
  • Connected Components Workbench software バージョン 11、12、13、20
  • FactoryTalk View Site Edition バージョン 13

詳細情報

Rockwell Automationが提供する複数の製品には、次の脆弱性が存在します。

  • 型の取り違え (CWE-843) - CVE-2022-1096

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの第三者によって、Chromium Webブラウザの脆弱性を利用され、サービス運用妨害(DoS)状態にされる - CVE-2022-1096

対策方法

2022年7月29日現在、修正済みのバージョンは提供されていません。
修正済みのバージョンが利用可能になった場合、開発者が提供するアドバイザリが更新されます。

アップデートまたはワークアラウンドを実施する
FactoryTalk View Site Edition Webブラウザを使用しているユーザは、WebView2の更新バージョンを適用できます。
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Rockwell Automation Product Compatibility & Download Center from Rockwell Automation
Rockwell Automation Tech Support(要ログイン)

参考情報

  1. ICS Advisory (ICSA-22-209-01)
    Rockwell Products Impacted by Chromium Type Confusion

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia