Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun OSIsoft PI System-en

Argitalpen data: 2020/05/13

Garrantzia: Altua

Kaltetutako baliabideak: 

  • PI Asset Framework (AF) Client erabiltzen duten aplikazioak, PI AF Client 2018 SP3 Patch 1 bertsioa eta lehenagokoak erabiltzen dituztenak, 2.10.7.283 bertsioa;
  • PI Software Development Kit (SDK) erabiltzen duten aplikazioak, PI SDK 2018 SP1 bertsioa eta lehenagokoak erabiltzen dituztenak, 1.4.7.602 bertsioa;
  • Windows Integrated Security-rako PI API, 2.0.2.5 bertsioa eta lehenagokoak;
  • PI API, 1.6.8.26 bertsioa eta lehenagokoak;
  • PI Buffer Subsystem, 4.8.0.18 bertsioa eta lehenagokoak;
  • BACnet-erako PI Connector, 1.2.0.6 bertsioa eta lehenagokoak;
  • CygNet-erako PI Connector, 1.4.0.17 bertsioa eta lehenagokoak;
  • DC Systems RTscada-rako PI Connector, 1.2.0.42 bertsioa eta lehenagokoak;
  • Ethernet/IPrako PI Connector, 1.1.0.10 bertsioa eta lehenagokoak;
  • HART-IP-rako PI Connector, 1.3.0.1 bertsioa eta lehenagokoak;
  • Ping-erako PI Connector, 1.0.0.54 bertsioa eta lehenagokoak;
  • Wonderware Historian-erako PI Connector, 1.5.0.88 bertsioa eta lehenagokoak;
  • PI Connector Relay, 2.5.19.0 bertsioa eta lehenagokoak;
  • PI Data Archive, PI Data Archive 2018 SP3 bertsioa eta lehenagokoak, 3.4.430.460 bertsioa;
  • PI Data Collection Manager, 2.5.19.0 bertsioa eta lehenagokoak;
  • Business Analytics-erako PI Integrator, 2018 R2 SP1 bertsioa eta lehenagokoak, 2.2.0.183 bertsioa;
  • PI Interface Configuration Utility (ICU), 1.5.0.7 bertsioa eta lehenagokoak;
  • PI to OCS, 1.1.36.0 bertsioa eta lehenagokoak;
  • PI Vision, 2019 bertsioa eta lehenagokoak;
  • PI Manual Logger, 2017 R2 Patch 1 bertsioa eta lehenagokoak;
  • RtReports, 4.1 bertsioa eta lehenagokoak.

Azalpena: .

Applied Risk-eko William Knowles segurtasun aholkulari seniorrak, OSIsoft-ekin lankidetzan, 10 ahultasunen berri eman dio CISAri, 5 larritasun altukoak eta 5 ertainekoak. Aurkitutako ahultasun motak honako hauek dira: kontrolatu gabeko bilaketa bideko elementua, sinadura kriptografikoaren egiaztapen okerra, lehenetsitako baimen okerrak, atzeman gabeko salbuespena, erakusle nuluaren deserreferentzia, sarreraren baliozkotze okerra, XSS, eta erregistroko fitxategian informazio konfidentziala jasotzea.

 Konponbidea:  

Ahultasun bakoitzaren segurtasun neurri zehatzak eskuratzeko irakurri CISAren oharra.

Xehetasuna: 

  • Erasotzaile lokal batek bilaketa bide bat alda dezake eta bitar bat erabili ekipo lokalaren kontrola hartzeko Windows sistemaren pribilegio mailan. Ondorioz, baimendu gabeko informazioa hedatu, ezabatu edo alda liteke. Ahultasun horretarako CVE-2020-10610 identifikatzailea erreserbatu da.
  • Erasotzaile lokal batek bitar bat erabil dezake eta kodearen integritatearen egiaztapena saihestu, PI System-en liburutegiak kargatzeko. Horrela baimendu gabeko informazioa hedatu, ezabatu edo alda lezake. Ahultasun horretarako CVE-2020-10608 identifikatzailea erreserbatu da.
  • Kaltetutako produktuak ezarritako baimen okerrak balia litzake erasotzaile lokal batek. Ahultasun hau baliatuz baimendu gabeko informazioa hedatu, ezabatu edo alda liteke, ekipo lokalak beste erabiltzaile batzuen PI System datuak ere prozesatzen baditu. Ahultasun horretarako CVE-2020-10606 identifikatzailea erreserbatu da.
  • Autentifikatu gabeko urruneko erasotzaile batek PI Network Manager-en zerbitzua blokea lezake bereziki diseinatutako eskaeren bidez. Horrek PI Data Archive-rako konexioak eta kontsultak blokea litzake. Ahultasun horretarako CVE-2020-10604 identifikatzailea erreserbatu da.
  • Autentifikatutako urruneko erasotzaile batek PI Network Manager blokea lezake lasterketako baldintza baten ondorioz. Horrek PI Data Archive-rako konexioak eta kontsultak blokea litzake. Ahultasun horretarako CVE-2020-10602 identifikatzailea erreserbatu da.
  • Autentifikatutako urruneko erasotzaile batek PI Archive Subsystem blokea lezake azpisistemak memoriaren presio pean funtzionatzen duenean. Egoera horrek PI Data Archive-rako kontsulten blokeoa eragin lezake. Ahultasun horretarako CVE-2020-10600 identifikatzailea erreserbatu da.
  • Autentifikatutako urruneko erasotzaile batek objektuaren barne ezaugarriak gehitu edo alda litzake, eta ondorioz zehaztugabeko portaera gertatuko litzateke. Ahultasun horretarako CVE-2019-10768 eta CVE-2019-11358 identifikatzaileak erabili dira.
  • Autentifikatutako urruneko erasotzaile batek bereziki diseinatutako URLak erabil litzake, PI Vision mugikorra erabiltzen ari den erabiltzaile bat webgune ahul batera bidaltzeko, hirugarrenen osagai batean dagoen arazo baten ondorioz. Ahultasun horretarako CVE-2020-10600 identifikatzailea erreserbatu da.
  • Autentifikatutako urruneko erasotzaile batek, PI Vision-en datu baseetara idazketa sarbidea izanez gero, kodea injekta lezake pantailan, eta horrela baimendu gabeko informazioa hedatu, ezabatu edo aldatu lezake erabiltzaile batek kaltetutako pantaila erabiliz gero. Ahultasun horretarako CVE-2020-10614 identifikatzailea erreserbatu da.
  • Erasotzaile lokal batek informazio konfidentziala kontsulta lezake erregistro fitxategietan, zerbitzu kontuak pertsonalizatzen direnean PI Vision-en instalazioan edo eguneraketan. Ahultasun horretarako CVE-2019-18244 identifikatzailea erabili da.

Etiketak: Ahultasuna