JVNVU#93901424
GoAhead Webサーバを使用するRockwell Automation製品における複数の脆弱性

GoAhead Webサーバを使用するRockwell Automation製品には、次の複数の脆弱性が存在します。

CVE-2019-5096、CVE-2019-5097

• 1732E-8CFGM8R/A ファームウェアバージョン 1.012
• 1732E-IF4M12R/A (販売終了) ファームウェアバージョン 1.012
• 1732E-IR4IM12R/A ファームウェアバージョン 1.012
• 1732E-IT4IM12R/A ファームウェアバージョン 1.012
• 1732E-OF4M12R/A ファームウェアバージョン 1.012
• 1732E-OB8M8SR/A ファームウェアバージョン 1.013
• 1732E-IB8M8SOER ファームウェアバージョン 1.012
• 1732E-8IOLM12R ファームウェアバージョン 2.011
• 1747-AENTR ファームウェアバージョン 2.002
• 1769-AENTR ファームウェアバージョン 1.001
• 5069-AEN2TR ファームウェアバージョン 3.011
• 1756-EN2TR/C ファームウェアバージョン 11.001およびそれ以前
• 1756-EN2T/D ファームウェアバージョン 11.001およびそれ以前
• 1756-EN2TSC/B (販売終了) ファームウェアバージョン 10.01
• 1756-EN2TSC/B ファームウェアバージョン 10.01
• 1756-HIST1G/A (販売終了) ファームウェアバージョン 3.054およびそれ以前
• 1756-HIST2G/A (販売終了) ファームウェアバージョン 3.054およびそれ以前
• 1756-HIST2G/B ファームウェアバージョン 5.103およびそれ以前

• ControlLogix 5580 controllers ファームウェアバージョン V28からV32まで
• GuardLogix 5580 controllers ファームウェアバージョン V31からV32まで
• CompactLogix 5380 controllers ファームウェアバージョン V28からV32まで
• Compact GuardLogix 5380 controllers ファームウェアバージョン V31からV32まで
• CompactLogix 5480 controllers ファームウェアバージョン V32
• 1756-EN2T/D ファームウェアバージョン 11.001
• 1756-EN2TR/C ファームウェアバージョン 11.001
• 1765-EN3TR/B ファームウェアバージョン 11.001
• 1756-EN2F/C ファームウェアバージョン 11.001
• 1756-EN2TP/A ファームウェアバージョン 11.001

GoAheadはEmbedthisが提供する組み込み型Webサーバです。GoAhead Webサーバを使用するRockwell Automation製品には、次の複数の脆弱性が存在します。

• 無限ループ (CWE-835) - CVE-2019-5097
• 解放済みメモリの使用 (CWE-416) - CVE-2019-5096

脆弱性を悪用された場合、遠隔の第三者によって、次のような影響を受ける可能性があります。

• 細工されたHTTPリクエストを送信され、当該製品をサービス運用妨害（DoS）状態にされる - CVE-2019-5097
• 細工されたHTTPリクエストを送信され、任意のコードを実行される - CVE-2019-5096

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。