Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 27/09/2019

Importancia: Alta

Recursos afectados:

• Exaopc, desde la versión R1.01.00 hasta la R3.77.00;
• Exaplog, desde la versión R1.10.00 hasta la R3.40.00;
• Exaquantum, desde la versión R1.10.00 hasta la R3.02.00;
• Exaquantum/Batch, desde la versión R1.01.00 hasta la R2.50.40;
• Exasmoc, todas las versiones;
• Exarge, todas las versiones;
• GA10, desde la versión R1.01.01 hasta la R3.05.01;
• InsightSuiteAE, desde la versión R1.01.00 hasta la R1.06.00.

Descripción:

El equipo de Yokogawa ha reportado la vulnerabilidad, de tipo validación incorrecta de entradas, que podría permitir a un atacante local la ejecución de ficheros maliciosos mediante el privilegio de servicio.

Solución:

• Exaopc: actualizar a la versión R3.78.00;
• Exaplog: actualizar a la versión R3.40.00 y aplicar el parche para la R3.40.06;
• Exaquantum: actualizar a la versión R3.15.00;
• Exaquantum/Batch: actualizar a la versión R3.10.00;
• Exasmoc: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exasmoc;
• Exarqe: el soporte de finaliza el 30 de septiembre del 2019, por lo que se recomienda migrar a Platform for Advanced Control and Estimation, que es el sucesor de Exarqe;
• GA10: actualizar a la versión R3.05.06;
• InsightSuiteAE: actualizar a la versión R1.07.00.

Detalle:

La ruta de servicios en algunas aplicaciones de Yokogawa no está contenida entre comillas y contiene espacios. Esto podría provocar que un atacante local ejecutase un fichero malicioso mediante el privilegio de servicio.

Etiquetas: Actualización, Vulnerabilidad