Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/7/23

Garrantzia: Handia

Kaltetutako baliabideak: 

CODESYS V3ko exekuzio denborako sistema guztiak (V3.5.16.10 baino lehenagoko bertsioetan) daude eraginda, zeinek CODESYS Target-o Webvisualization jasaten baitute eta CmpVisuServer eta CmpVisuHandler baitituzte, edozer dela ere CPU mota edo sistema eragilea:

• CODESYS Control, BeagleBone,
• CODESYS Control, emPC-A/iMX6,
• CODESYS Control, IOT2000,
• CODESYS Control, Linux,
• CODESYS Control, Linux ARM,
• CODESYS Control, PLCnext,
• CODESYS Control, PFC100,
• CODESYS Control, PFC200,
• CODESYS Control, Raspberry Pi,
• CODESYS Control, WAGO Touch Panels 600,
• CODESYS Control RTE V3,
• CODESYS Control RTE V3 (Beckhoff CX),
• CODESYS Control Win V3 (halaber, honen parte: CODESYS Development System setup),
• CODESYS V3 Simulation Runtime (CODESYS Development System),
• CODESYS HMI V3,
• CODESYS Control V3 Runtime System Toolkit,
• CODESYS V3 Embedded Target Visu Toolkit,
• CODESYS V3 Remote Target Visu Toolkit.

Azalpena: 

Argitaratutako zaurgarritasunak sistemaren memoria agortzea eta hura blokearaztea ahalbidetu liezaioke urrutiko erasotzaile bati.

Konponbidea: 

Eguneratu V3.5.16.10 bertsiora.

Xehetasunak: 

CODESYSen sortutako bistaratze-maskarak CODESYS Control gauzatzeko denbora-sistemaren osagai batzuen laguntzarekin erakusten dira. Osagai horiek eskaerak prozesatzen dituzte, pantailan erakusteko. CODESYS Control egikaritzeko denbora-sistemara berariaz diseinatutako eskaerak bidaltzen dituen urruneko erasotzaile batek memoriaren kantitateak arbitrarioki esleitzea eragin dezake, eta, ondorioz, sistema memoriarik gabe geratzea eta blokeatzea. CVE-2020-15806 identifikatzailea esleitu zaio zaurgarritasun horri

Etiketak: eguneratzea, zaurgarritasuna