Argitalpen data: 2019/02/15
Garrantzia:
Handia
Kaltetutako baliabideak:
- Vijeo Designer Lite V1.3SP1
- SoMachine Basic, bertsio guztiak
- Modicon M221, V1.10.0.0 firmwarearen aurreko bertsio guztiak
- 1. belaunaldiko Pelco Sarix Enhanced kamerak:
- Barnerako kamerak:
- IMES19-1I, IMES19-1S, IMES19-1P, IME119-1I, IME119-1S, IME119-1P , IME219-1I, IME219-1S, IME219-1P, IME319-1I, IME319-1S, IME319-1P, IME319-B1I, IME319-B1S, IME319-B1P, IME3122-1I, IME3122-B1I, IME3122-1S, IME3122-B1S, IME3122-1P, IME3122B1P
- Ingurumen kamerak:
- IMES19-1EI, IMES19-1ES, IMES19-1EP, IME119-1EI, IME119-1ES, IME119-1EP, IME219-1EI, IME219-1ES, IME219-1EP, IME319-1EI, IME319-1ES, IME319-1EP, IME3122-1EI, IME3122-1ES, IME3122-1EP
- Bandalismoa jasateko gaitasuna duten kamerak:
- IMES19-1VI, IMES19-1VS, IMES19-1VP, IME119-1VI, IME119-1VS, IME119-1VP, IME219-1VI, IME219-1VS, IME219-1VP, IME319-1VI, IME319-1VS, IME319-1VP, IME3122-1VI, IME3122-1VS, IME3122-1VP
- Kaxako kamerak:
- IXES1, IXE11, IXE21, IXE31
- Spectra Enhanced PTZ kamerak:
- D6220, D6220L, D6230 y D6230L
Azalpena:
NSFOCUSeko Deng Yongkai-k, Zero Science-ko Gjoko Krstic-ek, Hochschule Augsburg-eko Matthias Niedermaier-ek eta Florian Fischer-ek, Freie Universität Berlineko Jan-Ole Malchow-ek, Dragos Inc.-eko Reid Wightman-ek eta Schneider Electric-ek kaltetutako produktuetan era ezberdinetako ahultasunak aurkitu dituzte: bufferraren gainezkatzea, baimen okerrak, inguruneko ahultasunak, komandoen injekzioa, XSS, CSRF eta kontsultetan elementu berezien neutralizazio okerra.
Konponbidea:
- Vijeo Designer Lite: Ez dauka jarraipenik 2017ko ekainaz geroztik. Produktu hau eskatzen duten erabiltzaileei Schneider Electric-ek aholkatzen die horretarako soilik jarritako sistema batean instalatzea, gutxieneko pribilegio eta sarbideekin. DOP proiektuak iturri fidagarrietatik soilik irekitzea.
- SoMachine Basic: Softwarearen 1.0 bertsiora eguneratzea (EcoStruxure Machine Expert -Basic v 1.0).
- Modicon M221: firmwarearen v1.10.0.0 bertsiora eguneratzea.
- Pelco Sarix Enhanced kamerak: Firmwarearen 2.2.3.0 bertsiora eguneratzea..
- Spectra Enhanced PTZ kamerak: Firmwarearen 2.11 bertsiora edo berriagora eguneratzea.
Xehetasuna:
Asmo gaiztoko erabiltzaile batek aipatutako ahultasunen bat baliatuko balu, kaltetutako produktuetan ondoko ekintzaren bat egin lezake:
- kodearen exekuzioa,
- zerbitzuaren ukapena,
- fitxategiak ezabatzea,
- baimendu gabeko sarbidea lortzea.
Ahultasun horietarako ondoko identifikatzaileak erreserbatu dira: CVE-2018-7822, CVE-2018-7816, CVE-2018-7821, CVE-2018-7823, CVE-2018-7825, CVE-2018-7826, CVE-2018-7827, CVE-2018-7828 eta CVE-2018-7829.
Etiketak: SCADA, Schneider Electric, Ahultasuna