Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/13

Garrantzia: Altua

Kaltetutako baliabideak: 

• GP-Pro EX, 1.00 bertsiotik 4.09.100 bertsiora bitartekoak;
• Vijeo Designer Basic, 1.1 HotFix 16 eta lehenagoko bertsioak;
• Vijeo Designer, 6.2 SP9 eta lehenagoko bertsioak;
• MTN6501-0001 - U.Motion - KNX Server;
• MTN6501-0002 - U.Motion - KNX Server Plus;
• MTN6260-0410 - U.Motion KNX server Plus, Touch 10;
• MTN6260-0415 - U.Motion KNX server Plus, Touch 15;
• MTN6260-0310 - U.Motion KNX Client Touch 10;
• MTN6260-0315 - U.Motion KNX Client Touch 15.

Azalpena: 

Hainbat segurtasun ikertzailek Schneider Electrici 4 ahultasunen berri eman diote, bat kritikotasun altukoa eta 3 kritikotasun ertainekoak. Ahultasun horiek era hauetakoak dira: pasahitzen eskakizun ahulak, barneratutako kredentzialak, sarbidearen kontrol desegokia, eta SQL injekzioa.

Konponbidea: 

• GP-Pro EX 4.09.120 bertsiora eguneratzea;
• Vijeo Designer Basic eguneratzea 1.1 HotFix 17 bertsiora.Eguneraketa eskuratzeko beharrezkoa da Schneider Electricen laguntza zerbitzuarekin harremanetan jartzea.
• Vijeo Designer-ek hurrengo service pack-ean jasoko du eguneraketa;
• U.Motion Servers eta Touch panels gailuak 1.4.2 bertsiora eguneratzea, eta Erreferentziak atala kontsultatzea gailu bakoitzari buruzko eguneraketa berezia eskuratzeko.

Xehetasuna: 

• Kritikotasun altuko ahultasunak Vijeo Designer eta Designer Basic gailuei eragiten die. Urruneko erasotzaile batek barneratutako kredentzialak erabil litzake proiektuan edo firmwarean aldaketak egiteko. Ahultasun horretarako CVE-2020-7501 identifikatzailea erreserbatu da.
• Kritikotasun ertaineko ahultasunetarako honako identifikatzaileak erreserbatu dira: CVE-2020-7492, CVE-2020-7492 eta CVE-2020-7500.

Etiketak: Eguneraketa, Schneider Electric, Ahultasuna