Argitalpen data: 2020/05/2020
Garrantzia: Kritikoa
Kaltetutako baliabideak:
OpenEnterprise SCADA Software, 3.3.4 eta lehenagoko bertsioak.
Azalpena:
Kaspersky-ko Roman Lozkok larritasun kritiko, altu eta ertaineko hiru ahultasunen berri eman dio Emersoni. Honako era hauetakoak dira hurrenez hurren: funtzio kritikorako autentifikazio falta, fitxategien ezaugarriaren kudeaketa okerra, eta zifratuaren sendotasun desegokia.
Konponbidea:
Emersonek bere erabiltzaile guztiei gomendatzen die OpenEnterprise 3.3 Service Pack 5 (3.3.5) bertsiora eguneratzea, Emerson SupportNet plataforman eskuragarri.
Xehetasuna:
- Kaltetutako osagaiak baliatuz, erasotzaile batek komando arbitrarioak exekuta litzake sistemaren pribilegioekin, edo kodearen urruneko exekuzioa egin lezake komunikazio zerbitzu zehatz baten bitartez. Ahultasun horretarako CVE-2020-10640 identifikatzailea erreserbatu da.
- Karpetaren segurtasun baimen desegokiak baliatuz, konfigurazio fitxategi garrantzitsuak alda litezke, eta horrek eragin lezake sistemak huts egitea edo ustekabeko moduan funtzionatzea. Ahultasun horretarako CVE-2020-10632 identifikatzailea erreserbatu da.
- Zifratu desegokia baliatuz OpenEnterprise-ren erabiltzaile kontuetarako pasahitzak eskura litezke. Ahultasun horretarako CVE-2020-10636 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Azpiegitura kritikoak, SCADA, Ahultasuna