Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en produktuetan

Argitalpen data: 2020/03/12

Garrantzia: Altua

Kaltetutako baliabideak:

  • IGSSupdate zerbitzua erabiltzen duten IGSS, 14 eta lehenagoko bertsioak;
  • Quantum Ethernet Network 140NOE771x1 modulua, 7.0 eta lehenagoko bertsioak;
  • Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak, bertsio guztiak;
  • Ethernet integratua duten Premium prozesadoreak, bertsio guztiak;
  • ZigBee-ren instalazio kit-a, 1.0.1 baino lehenagoko bertsio guztiak;
  • Andover Continuum Controllers, bertsio guztiak.

Azalpena:

Nsfocus-eko Yongjun Liu, Trend Micro Zero Day Inititative, CNITSEC, eta Niv Levy ikertzaileek zazpi ahultasunen berri eman dute: lau kritikotasun altukoak eta hiru ertainekoak, Schneider Electric-en hainbat produkturi eragiten dietenak. Erasotzaile batek pribilegioen eskalatzea egin lezake, zerbitzuaren ukapen egoera sortu, asmo gaiztoko kodea exekutatu, edo beharrezkoa den baimenik gabe informaziora sarbidea lortu.

Konponbidea:

Kaltetutako produktuetan ahultasunak konpontzeko Schneider Electric-ek hainbat eguneraketa argitaratu ditu.

  • ZigBee Toolkit, 1.01 bertsiora eguneratzea;
  • IGSS, 14.0.0.20009 bertsiora eguneratzea;
  • Quantum Ethernet Network 140NOE771x1 modulua, 7.1 bertsiora eguneratzea: 
  • Ethernet integratua duten Quantum 140CPU65xxxxx prozesadoreak: Erabiltzailearen gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
  • Ethernet integratua duten Premium prozesadoreak: Erabiltzailearen gidaliburuan jasota dagoen ACL ezaugarria konfiguratzea;
  • Andover Continuum Controllers: produktu honek dagoeneko ez dauka zerbitzurik. Schneider Electric-ek gomendatzen du isolatutako sare segmentuetan erabiltzea, eta gainera ACLrekin firewall baten erabilpena, paketeen ikuskapen sakona eta paketeen iragazketa.

Xehetasuna:

Kritikotasun altuko ahultasunak honakoak dira:

  • Autentifikatu gabeko urruneko erabiltzaile batek fitxategien irakurketa modu arbitrarioan egin lezake IGSS zerbitzarian, murriztu edo partekatu gabeko sare batean, IGSS Update zerbitzua aktibo dagoenean. Ahultasun horretarako CVE-2020-7478 identifikatzailea erreserbatu da.
  • Erasotzaile batek normalean pribilegioen eskalatzea beharko luketen prozesuak exekuta litzake sareko komandoak IGSS Update zerbitzura bidaltzen direnean. Ahultasun horretarako CVE-2020-7479 identifikatzailea erreserbatu da.
  • Urruneko erasotzaile batek zerbitzuaren ukapen egoera eragin lezake komando landuak bidaltzen direnean Modbus-en bitartez. Ahultasun horretarako CVE-2020-7477 identifikatzailea erreserbatu da.
  • Urruneko erasotzaile batek zerbitzariko aplikazio baten XML datuen prozesamenduan eragin dezake eta horien informazioa eskuratu. Ahultasun horretarako CVE-2020-7480 identifikatzailea erreserbatu da.

Kritikotasun ertaineko ahultasunetarako honako identifikatzaileak erreserbatu dira: CVE-2020-7476, CVE-2020-7481 eta CVE-2020-7482.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna