Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Rockwell Automation-en produktuetan

Argitalpen data: 2019/04/05

Garrantzia: Handia

Kaltetutako baliabideak:

  • Allen-Bradley Stratix 5400, 5100 eta 5700, 15.2(6)E2a baino lehenagoko bertsioak
  • Allen-Bradley ArmorStratix 5700, 15.2(6)E2a baino lehenagoko bertsioak
  • Allen-Bradley Stratix 8000, 15.2(6)E0a baino lehenagoko bertsioak
  • Allen-Bradley Stratix 8300, 15.2(4)EA7 baino lehenagoko bertsioak
  • Modelos Allen-Bradley Stratix 5950: 
    • 1783-SAD4T0SBK9
    • 1783-SAD4T0SPK9
    • 1783-SAD2T2SBK9
    • 1783-SAD2T2SPK9

Azalpena:

Rockwell Automation-ek era ezberdinetako hainbat ahultasunen berri eman du: baliabideen kontrolik gabeko kontsumoa, baliabideen kudeaketan akatsak eta sarrera datuen baliozkotze desegokia. Ahultasun horiek arrakastaz baliatuz gero, baimenik gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera eragin lezake gailuan edo PTP (Precision Time Protocol) zerbitzuan.

Konponbidea:

Fabrikatzaileak gomendatzen du kaltetutako produktuen softwarea ondoko bertsioetara (edo berriagoetara) eguneratzea:

  • FRN 15.2(6)E2a:
    • Allen-Bradley Stratix 5400
    • Allen-Bradley Stratix 5410
    • Allen-Bradley Stratix 5700
    • Allen-Bradley ArmorStratix 5700
    • Allen-Bradley Stratix 8000
  • FRN 15.2(4)EA7:
    • Allen-Bradley Stratix 8300
  • Kaltetutako Allen-Bradley Stratix 5950 produktuen kasuan, modu lehenetsian IPsec zerbitzua desgaiturik dutenez, fabrikatzaileak gomendatzen du VPN IPsec konexiorik ez erabiltzea. Era berean firewall arauak, ACLak eta kaltetutako gailuak agerian jartzearekin zerikusia duten neurriak erabiltzea gomendatzen du.

Xehetasuna:

  • Autentifikaziorik gabeko urruneko erasotzaile batek datu baliogabeak bidal liezazkioke Cisco Network Plug and Play-ren agenteari. Horrela memoria galtzea eragingo litzateke eta, ondorioz, kaltetutako gailua berrabiaraztea, zerbitzuaren ukapen egoera (DoS) sortuz. Ahultasun horretarako CVE-2018-15377 kodea erabili da.
  • Autentifikaziorik gabeko erasotzaile batek bereziki diseinatutako OSPFv3 pakete bat bidal lezake kaltetutako gailu batean berrabiatzea eragiteko, eta ondorioz gailu berean zerbitzuaren ukapen egoera sortzeko. Ahultasun horretarako CVE-2018-0466 kodea erabili da.
  • Autentifikaziorik gabeko urruneko erasotzaile batek Cisco XEren web framework-ean gaizki sortutako HTTP pakete bat bidal lezake, modu horretan bufferraren gainezkatzea eraginez eta, ondorioz, gailuan zerbitzuaren ukapen egoera sortuz. Ahultasun horretarako CVE-2018-0470 kodea erabili da.
  • Autentifikaziorik gabeko urruneko erasotzaile batek gaizki sortutako IPsec paketeak bidal liezazkioke kaltetutako gailu bati. Horrela bere berrabiatzea eragingo luke eta, ondorioz, zerbitzuaren ukapen egoera. Ahultasun horretarako CVE-2018-0472 kodea erabili da.
  • Autentifikaziorik gabeko urruneko erasotzaile batek pertsonalizatutako PTP pakete bat bidal liezaioke kaltetutako gailu bati. Horrela PTPn zerbitzuaren ukapen egoera eragingo luke eta, ondorioz, sarean denboraren desinkronizazioa. Ahultasun horretarako CVE-2018-0473 kodea erabili da.
  • Autentifikaziorik gabeko erasotzaile batek Cisco Recovery Protocol paketeen tasa altu bat bidal liezaioke kaltetutako gailu bati, horrela bere memoria betez eta ondorioz zerbitzuaren ukapen egoera sortuz. Ahultasun horretarako CVE-2018-15373 kodea erabili da.
  • Autentifikaziorik gabeko urruneko erasotzaile batek asmo gaiztoko IPsec paketeak bidal liezazkioke kaltetutako gailu bati. Horrela bere berrabiatzea eragingo luke eta, ondorioz, zerbitzuaren ukapen egoera. Ahultasun horretarako CVE-2018-0467 kodea erabili da.

Etiketak: Eguneraketa, Ahultasuna