Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Informazio sentikorra lauan biltegiratzea Pilz GmbH & Co. KGren (Pilz) PNOZmulti Configurator-en

Argitalpen data: 2019/01/11

Garrantzia: Txikia

Kaltetutako baliabideak:

  • PNOZmulti Configurator, 10.9 baino lehenagoko bertsio guztiak

PNOZmulti Configurator-ek duen ahultasunak zuzenean eragiten dio PMI m107 diag HMI gailuari.

Azalpena:

Applied Risk-eko Gjoko Krstikj-ek informazio sentikorra lauan biltegiratzearen ahultasun bat aurkitu du Pilz-en PNOZmulti Configurator softwarean. Sarbide lokala lukeen erasotzaile batek sistemaren informazio sentikorra irakur lezake.

Konponbidea:

PMI m107 diag HMI gailua zaharkituta dago. Ahultasunak eragindako funtzionaltasuna PNOZmulti Configurator-en 10.9 bertsioan zuzendua izan zen.

PILZek ondoko ekintza zuzentzaileak egitea gomendatzen du:

  • PMI m107 diag erabiltzen ez duten erabiltzaileen kasuan:
    • PNOZmulti Configurator-en 10.9 bertsioa instalatzea eta C:/Program-Data/Pilz/PNOZmulti Configurator v< version >/AppData/pmimicroconfig direktorioko edukia ezabatzea (< versión > ordezkatu behar da erabiltzen ari den bertsioagatik).
  • PMI m107 diag erabiltzen duten erabiltzaileen kasuan:
    • PNOZmulti Configurator-en bertsio zaharra erabiltzen jarraitzea eta PCa babestea baimendu gabeko sarbideen aurrean.

Xehetasuna:

  • Autentifikaziorik gabeko erasotzaile batek PNOZmulti Configurator instalatuta dagoen sistemara sarbide lokala balu, kredentzialen datuak ikus litzake testu lauan. Ahultasun horretarako CVE-2018-19009 identifikatzailea erreserbatu da.
Etiketak: Ahultasuna