Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Schneider erakundearen produktuen ahultasunak

Argitalpen data: 2020/09/09

Garrantzia: Handia

Kaltetutako baliabideak: 

  • SCADAPack 7x Remote Connect, V3.6.3.574 bertsioa eta aurrekoak;
  • SCADAPack x70 Security Administrator, V1.2.0 bertsioa eta aurrekoak.

Azalpena: 

Schneider Electric erakundeak hainbat ahultasunen berri eman du; 3 tarteko larritasunekoak eta 2 larritasun handikoak dira, eta SCADAPack 7x Remote Connect eta SCADAPack x70 Security Administrator produktuei eragiten diete. Kodearen exekuzio arbitrarioa ekar lezakete, babestu gabeko karpetetan edukia gehitu, edo kode exekutagarria duten karpetetan sartu.

Konponbidea: 

SCADAPack 7x RemoteConnect V3.7.3.904 eta SCADAPack x70 Security Administrator V1.6.2 bertsioetara eguneratzea. Biak daude eskuragarri RemoteConnect V2.3.2 paketean.

Xehetasuna: 

  • Datu ez fidagarrien deserializazio arloko ahultasun baten ondorioz, kode arbitrarioa exekutatu liteke erasotzaile batek bereziki diseinatua dagoen PRJ artxibo bat eraikitzen duenean (buffer serializatu maltzur batekin). Tarteko larritasuna duen ahultasun horretarako CVE-2020-7528 identifikatzailea esleitu da.
  • Direktorio mugatu baterako sarbide-ibilbide baten mugatze okerraren motako ("path transversal") ahultasun baten ondorioz, erasotzaile batek edukia jarri lezake sistemako babestu gabeko edozein karpetatan, bereziki diseinatutako .RCZ artxibo bat erabiliz. Tarteko larritasuna duen ahultasun horretarako CVE-2020-7529 identifikatzailea esleitu da.
  • Baimen desegokiaren motako ahultasun baten bidez, erasotzaile bat kode exekutagarriaren karpetetara sar liteke. Larritasun handiko ahultasun horretarako CVE-2020-7530 identifikatzailea esleitu da.
  • Sarbide kontrol desegokiaren arloko ahultasun baten bidez, erasotzaile batek exekutagarriak jar litzake karpeta espezifiko batean eta kodea exekutatu, betiere, erabiltzaileak RemoteConnect erabiltzen badu. Tarteko larritasuna duen ahultasun horretarako CVE-2020-7531 identifikatzailea esleitu da.
  • Datu ez fidagarrien deserializazio arloko ahultasun baten ondorioz, kode arbitrarioa exekutatu liteke erasotzaile batek bereziki diseinatua dagoen .SDB artxibo bat eraikitzen duenean (buffer serializatu maltzur batekin). Larritasun handiko ahultasun horretarako CVE-2020-7532 identifikatzailea esleitu da.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna