Argitalpen data: 2020/05/07
Garrantzia: Ertaina
Kaltetutako baliabideak:
- V3.5.16.0 baino lehenagoko CODESYS V3 garapen sistemaren bertsio guztiak, bai 32 eta bai 64 bitetarakoak;
- Ondoko produktuak, V3.5.16.0 bertsioa baino lehenagokoetan:
- BeagleBone-rako CODESYS Control,
- emPC-A/iMX6rako CODESYS Control,
- IOT2000rako CODESYS Control,
- Linuxerako CODESYS Control,
- PLCnext-erako CODESYS Control,
- PFC100erako CODESYS Control,
- PFC200erako CODESYS Control,
- Raspberry Pi-rako CODESYS Control,
- RTE V3rako CODESYS Control,
- CODESYS Control RTE V3 (Beckhoff CXerako),
- CODESYS Control Win V3 (CODESYS Development System-en konfigurazioaren zati gisa);
- CODESYS HMI V3,
- CODESYS Control V3 Runtime System Toolkit.
Azalpena:
CODESYS V3 garapen sistemak duen pribilegioen kudeaketa desegoki erako ahultasun bat argitaratu da. Hori baliatuz, erasotzaile batek pribilegioen eskalatzea egin lezake.
Konponbidea:
Kaltetutako produktu guztien kasuan, V3.5.16.0 bertsiora eguneratzea.
Xehetasuna:
CODESYSek hainbat aldagai eskaintzen ditu, pantailen bistaratzea erakusteko erabil daitezkeenak. Erabiltzaileen kudeaketa funtzioaren bidez posible da operadore batzuei sarbidea murriztea bistaratzearen zati zehatzetara. CODESYS WebVisu eta CODESYS Remote TargetVisu-n posible da pribilegioen eskalatzea gertatzea, eta horrela operadore zehatz batzuentzat soilik diren bistaratze pantailetara sarbidea lor liteke. Eraso hori baldintza jakin batzuetan bakarrik gerta daiteke:
- Deskargatutako bistaratzearen nabigazioa egiten denean bistaratze pantaila guztiak hautatuta eta soilik nabigaziorako elementuak daudenean babestuta erabiltzeen kudeaketagatik.
- Deskargatutako bistaratzeak nabigazioak ezin eskura ditzakeen bistaratze pantailak dituenean. Ahultasunak bistaratze ezaugarriari berari eragiten dionez, CODESYS Control-en exekuzio denboraren produktuak soilik daude eraginda bistaratze ezaugarria erabiltzen bada.
Ahultasun horretarako CVE-2020-12068 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna