Argitalpen data: 2019/12/17
Garrantzia:
Altua
Kaltetutako baliabideak:
- PB610 Panel Builder 600, 2.8.0.424 eta lehenagoko bertsioak.
Azalpena:
NSFOCUSeko ikertzaileek hainbat ahultasunen
berri eman dute. Horiek baliatuz urruneko erasotzaile batek gailua geldiarazi
lezake edo eskuraezin utzi, sistemaren nodoaren kontrola hartu edo kode
arbitrarioa injektatu.
Konponbidea:
- 2.8.0.460 bertsiora eguneratzea;
- Aplikazioaren PB610 direktorioan dauden DLL fitxategiak ezabatzea.
Xehetasuna:
- Fitxategiaren luzera egiaztatzen ez denez,
HMIStudio osagaia blokeatu egiten da aplikazioaren *.JPR fitxategi huts bat
kargatzen saiatzean. Hori baliatuz erasotzaile batek gailuan zerbitzuaren
ukapen egoera eragin lezake. Ahultasun horretarako CVE-2019-18994
identifikatzailea erabili da.
- HMISimulator panelak huts egiten du HTTP eskarien luzera baliozkotzean. Hori baliatuz erasotzaile batek zerbitzuaren ukapen egoera eragin lezake bereziki manipulatutako HTTP paketeak bidaliz. Ahultasun horretarako CVE-2019-18995 identifikatzailea erabili da.
- HMIStudio-k programaren direktoriotik kanpo dauden DLL fitxategiak onartzen ditu. Hori baliatuz, sarbide lokala lukeen erasotzaile batek kodea exekuta lezake asmo gaiztoko DLL fitxategien bidez. Ahultasun horretarako CVE-2019-18996 identifikatzailea erabili da.
- HMISimulator osagaiak irakurketa/idazketa interfazea erabiltzen du fitxategiak manipulatzeko. Hori baliatuz erasotzaile batek laneko direktoriotik kanpoko fitxategietara sarbidea lor lezake baimenik gabe. Ahultasun horretarako CVE-2019-18997 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna