Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Rockwell Automation-en Arena Simulation Software-n

Argitalpen data: 2019/08/02

Garrantzia: Handia 

Kaltetutako baliabideak: 

Arena Simulation Software for Manufacturing, Cat. 9502-Ax, 16.00.00 eta lehenagoko bertsioak.

Azalpena: 

9SG Security Team-eko kimiya ikertzaileak, Zero Day Initiative-rekin (ZDI) lankidetzan, askatu ondoreneko memoriaren erabilpen erako eta informazioa agerian uztearen erako hainbat ahultasunen berri eman du, Rockwell Automation-en Arena Simulation Software-ri eragiten diotenak. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile batek akatsa eragin lezake saioan, eta horrela zerbitzuaren ukapen egoera (DoS) eragin edo kode arbitrarioa exekutatu.

Konponbidea: 

Ahultasun horiek konpontzeko Rockwell Automation-ek Arena Simulation Software-ren 16.00.01 bertsioa argitaratu du.

Xehetasuna: 

  • Bereziki diseinatutako Arena fitxategi bat erabiltzaile batek irekiz gero, aplikazioan akats bat eragin lezake edo kode arbitrarioa exekutatu liteke. Ahultasun horretarako CVE-2019-13510 identifikatzailea erreserbatu da.
  • Bereziki diseinatutako Arena fitxategi bat erabiltzaile batek irekiz gero, erasoaren biktima den lan estazioarekin zerikusia duen informazio mugatua agerian utz liteke. Ahultasun horretarako CVE-2019-13511 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna