Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 14/10/2020

Importancia: Crítica

Recursos afectados:

  • M340 CPUs: BMX P34x, versiones de firmware anteriores a 3.20.
  • Módulos M340 Communication Ethernet:
    • BMX NOE 0100 (H), versiones anteriores a 3.3;
    • BMX NOE 0110 (H), versiones anteriores a 6.5;
    • BMX NOC 0401, versiones anteriores a 2.10.
  • Procesadores premium con Ethernet COPRO integrado: TSXP574634, TSXP575634 y TSXP576634, versiones anteriores a 6.1.
  • Módulos de comunicación premium:
    • TSXETY4103, versiones anteriores a 6.2;
    • TSXETY5103, versiones anteriores a 6.4.
  • Procesadores quantum con Ethernet COPRO integrado: 140CPU65xxxxx, versiones anteriores a 6.1.
  • Módulos de comunicación quantum:
    • 140NOE771x1, versiones anteriores a 7.1;
    • 140NOC78x00, versiones anteriores a 1.74;
    • 140NOC77101, versiones anteriores a 1.08.
  • Todas las versiones de los productos:
    • EcoStruxure Machine Expert (anteriormente conocido como SoMachine y SoMachine Motion);
    • E PLC400;
    • E PLC100;
    • E PLC_Setup;
    • EcoStruxure Machine SCADA Expert.
  • Acti9:
    • Smartlink SI D, todas las versiones anteriores a 002.004.002;
    • Smartlink SI B, todas las versiones anteriores a 002.004.002;
    • PowerTag Link / Link HD, todas las versiones anteriores a 001.008.007;
    • Smartlink EL B, todas las versiones anteriores a 1.2.1.
  • Wiser:
    • Link, todas las versiones anteriores a 1.5.0;
    • Energy, todas las versiones anteriores a 1.5.0.
  • EcoStruxureTM:
    • Power Monitoring Expert, versiones 9.0, 8.x y 7.x;
    • Energy Expert, versión 2.0:
    • Power SCADA Operation con Advanced Reporting y Dashboards Module, versión 9.0.
  • Power Manager, versiones 1.1, 1.2 y 1.3.
  • StruxureWareTM PowerSCADA Expert con Advanced Reporting y Dashboards Module, versiones 8.x.

Descripción:

Schneider Electric ha publicado múltiples vulnerabilidades, 2 críticas, 7 altas y 2 medias, de tipo gestión de credenciales, corrupción de memoria, longitud de campos no verificada, creación de archivos de licencia arbitrarios, comunicación remota con la API de CodeMeter, alteración o creación de archivo de licencia, retorno de paquetes con información del heap, valores insuficientemente aleatorios, control de acceso inadecuado y neutralización incorrecta de la entrada durante la generación de una página web.

Solución:

Seguir las instrucciones de actualización y configuración descritas en la sección Remediation de cada aviso del fabricante.

Detalle:

Las vulnerabilidades de severidad crítica aparecen descritas a continuación:

  • Existe una vulnerabilidad de gestión de credenciales que podría provocar la ejecución de comandos en el servidor web sin autenticación, al enviar peticiones HTTP especialmente diseñadas. Se ha asignado el identificador CVE-2020-7533 para esta vulnerabilidad.
  • Existe una vulnerabilidad de corrupción de memoria donde el mecanismo del analizador de paquetes de CodeMeter (todas las versiones anteriores a 7.10a) no verifica la longitud de los campos. Un atacante podría enviar paquetes, especialmente diseñados, para explotar esta vulnerabilidad. Se ha asignado el identificador CVE-2020-14509 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-14513, CVE-2020-14515, CVE-2020-14517, CVE-2020-14519, CVE-2020-16233, CVE-2020-7548, CVE-2020-7545, CVE-2020-7546 y CVE-2020-7547.

Etiquetas: Actualización, Infraestructuras críticas, SCADA, Schneider Electric, Vulnerabilidad