Secuestro de DLL en Schneider Electric Software Update (SESU) de Schneider Electric

Fecha de publicación: 29/10/2018

Importancia: Alta

Recursos afectados:

  • Schneider Electric Software Update (SESU), todas las versiones anteriores a la versión 2.2.0. SESU es instalado por el siguiente software de Schneider Electric:
    • Acti 9 Smart Test
    • Altiva rATV320DtmLibrary
    • AltivarDTMLibrary
    • AltivarMachine340DTMLibrary
    • AltivarProcessATV6xxDTMLibrary
    • AltivarProcessATV9xxDTMLibrary
    • Blue
    • CompactNSX Firmware Update
    • Ecodial Advance Calculation
    • eConfigure
    • Ecoreach Software
    • EcoStruxure Modicon Builder
    • eXLhoist Configuration Software
    • Lexium 26 DTM Library
    • Lexium 28 DTM Library
    • Lexium 32 DTM Library
    • LV Motor Starter
    • PowerSCADA Expert
    • Schneider Electric Floating License Manager
    • Schneider Electric License Manager
    • Schneider Electric Motion Sizer
    • Schneider Electric SQL Gateway
    • SoMachine Basic
    • SoMachine Motion Software
    • SoMachine Motion Tools V4.3
    • SoMachine Software
    • SoMove
    • SoSafe Configurable
    • SoSafe Programmable V2.1
    • TeSysDTM
    • Unity Loader
    • Unity Pro
    • Vijeo Citect
    • Vijeo Designer
    • Vijeo Designer Opti 6.1
    • Vijeo XD
    • Web Gate Client Files

Descripción:

Haojun Hou del ADLab de Venustec, en colaboración con Schneider Electric, ha identificado una vulnerabilidad de tipo secuestro de DLL que podría permitir a un atacante remoto la ejecución de código arbitrario.

Solución:

Schneider Electric ha publicado la versión 2.2.0 del software que soluciona la vulnerabilidad.

Detalle:

  • Una vulnerabilidad de secuestro de DLL podría permitir a un atacante remoto llevar a cabo la ejecución de código arbitrario en el sistema. Se ha asignado el identificador CVE-2018-7799 para esta vulnerabilidad

Etiquetas: Actualización, Schneider Electric, Vulnerabilidad