Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Schneider erakundearen produktuen ahultasunak

Argitalpen data: 2020/08/12

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • SoMove V2.8.1 eta aurrekoak;
  • Harmony® eXLhoist base stations v04.00.02.00 eta aurrekoak:
    • ZARB12W;
    • ZARB12H;
    • ZARB18H;
    • ZARB18W;
    • ZARB18HM;
    • ZARB18WM.
  • PowerChute Business Edition software V9.0.x eta aurrekoak;
  • Modicon M218 Logic Controller V5.0.0.7 eta aurrekoak;
  • Honako hardware bertsio guztiak: 
    • spaceLYnk;
    • Wiser for KNX (homeLYnk).
  • Schneider Electric Modbus Serial Driver (64 bits) V3.20 IE 30 bertsioaren aurrekoak;
  • Schneider Electric Modbus Serial Driver (32 bits) V2.20 IE 30 bertsioaren aurrekoak;
  • Schneider Electric Modbus Driver Suite, V14.15.0.0 bertsioaren aurrekoak, honako produktuetan erabiliz: 
    • Ecostruxure Control Expert (Unity Pro gisa formalki ezaguna);
    • Unity Loader;
    • EcoStruxure Process Expert (Hybrid DCS gisa formalki ezaguna);
    • EcoStruxure OPC UA Server Expert;
    • OPC Factory Server;
    • Advantys Configuration Software;
    • Modbus Communications DTM (Field Devices);
    • SoMove;
    • Ecostruxure Machine Expert (SoMachine gisa formalki ezaguna);
    • Ecostruxure Machine Expert Basic;
    • Harmony® eXLhoist;
    • EcoStruxure Power Commission.
  • SFAPV9601 - APC Easy UPS On-Line Software V2.0 eta aurrekoak.

Azalpena:

Schneider etxeak 8 argitalpenen berri eman du; horietako hiruk tarteko larritasuna dute, eta beste bi larritasun kritikokoak dira. Horien ondorioz, erasotzaile batek pribilegioetan gora egin lezake, zerbitzuaren ukapena burutu, kodearen urrutiko exekuzioa egin, sistema blokeatu, indarrez pasahitza baliatu edota exekuta daitezkeen fitxategiak igo.

Konponbidea:

Eguneratzea:

Xehetasunak:

Larritasun kritikoko ahultasunak direktorio mugatu baterako ibilbide-izenaren luzera desegokiaren motakoak dira (Path Traversal), eta, horien ondorioz, erasotzaileak fitxategi exekutagarriak karga ditzake direktorio ez zehaztuetan, "FileUploadServlet" edo "SoundUploadServlet" metodo ahulen bidez. Ahultasun horietarako CVE-2020-7521 eta CVE-2020-7522 identifikatzaileak erreserbatu dira.

Kritikotasun ertain edo baxuko gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-7527, CVE-2019-19193, CVE-2020-7524, CVE-2020-7526, CVE-2020-7525 eta CVE-2020-7523.

Etiketak: Eguneratzea, Azpiegitura kritikoak, Schneider Electric, Ahultasuna.