Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación: 13/01/2021

Importancia: Crítica

Recursos afectados:

  • EcoStruxure Power Build - Rapsody, versiones 2.1.13 y anteriores;
  • EcoStruxureTM Operator Terminal Expert 3.1 Service Pack 1A y anteriores, con Harmony HMIs:
    • Series HMIST6,
    • HMIG3U en series HMIGTU,
    • Series HMISTO.
  • Pro-face BLUE 3.1 Service Pack 1A y anteriores, con Pro-face HMIs:
    • Series ST6000,
    • SP-5B41 en series SP5000,
    • Series GP4100.

Descripción:

Schneider Electric ha publicado tres vulnerabilidades, de severidad alta, que afecta a alguno de sus productos.

Solución:

  • La solución para la vulnerabilidad en EcoStruxure Power Build - Rapsody, está prevista para el primer semestre de 2021, hasta ese momento el fabricante recomienda:
    • Aplicar el principio del menor privilegio para limitar el acceso a la computadora que ejecuta el software Rapsody.
    • Implementar una lista blanca de aplicaciones para bloquear la ejecución de código malicioso.
    • Instalar un antivirus en el ordenador y mantenerlo actualizado.
  • Actualizar a EcoStruxureTM Operator Terminal Expert V3.1 Service Pack 1B;
  • Actualizar a Pro-face BLUE V3.1 Service Pack 1B;

Detalle:

  • Cuando se sube un archivo SSD malicioso y se analiza inadecuadamente, un atacante podría causar una condición de uso de la memoria previamente liberada (use-after-free) o un desbordamiento del búfer basado en la pila (stack) que resultaría en la ejecución de código remoto. Se han asignado los identificadores CVE-2021-22697 y CVE-2021-22698 para esta vulnerabilidad.
  • Una vulnerabilidad de validación de entrada inapropiada podría permitir a un atacante la ejecución de código arbitrario cuando la función Ethernet Download está habilitada en el HMI. Se ha asignado el identificador CVE-2020-28221 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Schneider Electric, Vulnerabilidad