Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en PlantStruxure PES eta SoMachine Basic-en

Argitalpen data: 2018/05/24

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • PlantStruxure PES V4.3 SP1 eta lehenagoko bertsioak
  • SoMachine Basic v1.6 SP1 eta lehenagoko bertsioak

Azalpena:

Applied-eko Gjoko Krstikj zibersegurtasun ikerlariak eta Schneider Electric-ek PlantStruxure PES lizentzia kudeatzailean erabiltzen den Flexera FlexNet Publisher softwareari eta SoMachine Basic-i eragiten dieten hainbat ahultasun aurkitu dituzte. Erasotzaile batek ahultasun horietako batzuk balia litzake komandoak exekutatu ahal izateko, erabiltzaile legitimoak beste orrialde batzuetara birbidaltzeko edo zerbitzuaren ukapena eragiteko.

Konponbidea:

  • Schneider Electric-ek lizentzia kudeatzailearen 2.1.0.0 bertsioa garatu du eta horrek PlantStruxure PESi eragiten dioten ahultasunak konpontzen ditu. Ondoko loturak eskura daiteke: https://www.pes.schneider-electric.com/software-downloads/software/895-floating-license-manager-v2-1-0-0?acm=9_47
  • Schneider Electricek erabiltzaileen eskura jarri du SoMachine Basic-en ahultasuna konpontzeko eguneraketa. Lotura honetan eskura daiteke: https://www.schneider-electric.com/en/download/document/SoMachineBasicV1.6SP1/

Xehetasuna:

  • Bufferrak gainezka egitea: OpenSSL 1.0.2h-k modu okerrean erabiltzen ditu biltegiratze mugen egiaztapenak eta hori baliatuz urruneko erasotzaile batek zerbitzuaren ukapena eragin lezake (osokoa gainezkatzea eta aplikazioa blokeatzea). Larritasun kritikoko ahultasun horretarako 2016-2177 identifikatzailea erabili da.
  • Bufferrak gainezka egitea: FlexNet Publisher Licensing zerbitzua balia liteke memoriaren mugez kanpoko irakurketa eragiteko. Horren bitartez erasotzaile batek kode arbitrarioa exekuta lezake SYSTEM baimenekin. Larritasun altuko ahultasun horretarako CVE-2016-10395 identifikatzailea erabili da.
  • Birbideratze irekia: Flexera FlexNet Publisher 11.14.1 eta lehenagoko bertsioetako lmadmin osagaia baliatuz erasotzaile batek erabiltzaileak webgune arbitrarioetara birbidera litzake eta zehaztu gabeko bektoreen bidez phising erasoak egin. Larritasun ertaineko ahultasun horretarako CVE-2017-5571 identifikatzailea erabili da.
  • XML (XXE) Kanpo Entitatea: DTD parametroen entitateen teknika baliatuz, kaltetutako nodoan erasotzaile batek datu arbitrarioak hedatzea eta berreskuratzea lor lezake bandaz kanpoko erasoaren bidez (OOB). Ahultasuna sortzen da xml analizatzaileari ematen zaion informazioa normalizatzen ez denean proiektu/txantiloiaren xml fitxategia aztertutakoan. Larritasun altuko ahultasun horretarako CVE-2018-7783 identifikatzailea erabili da.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna