Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en produktuetan

Argitalpen data: 2018/04/18

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Schneider Electric-en Triconex Tricon, MP 3008 modeloa, firmwarearen 10.0-10.4 bertsioak
  • InduSoft Web Studio v8.1 eta lehenagoko bertsioak
  • InTouch Machine Edition 2017 v8.1 eta lehenagoko bertsioak

Azalpena:

Tenable Researchek bufferraren gainezkatze erako ahultasun baten berri eman zion Schneider Electric-i. Horrez gain, NCCICek eta Schneider Electric-ek beste bi ahultasun gehiago aurkitu dituzte HatMan malwarearen ikerkuntzan.

Ahultasun horiek baliatuko lituzkeen erasotzaile batek honako ekintzak egin litzake, besteak beste: kodearen exekuzio arbitrarioa, sistemak itzaltzea, babes sistemak arriskuan jartzea edo kaltetutako gailuak erabateko arriskuan jartzea.

Konponbidea:

Xehetasuna:

Ondoren zehazten dira Schneider Electric-en Triconex Tricon-en MP 3008 modeloari eragiten dioten ahultasun guztiak:

  • Memoriaren gunean idazketa baimenen kudeaketa okerra: Sistemaren deiek zuzenean irakurtzen dute memoriaren gunea, prozesuaren aldetik inolako kontrolik gabe eta inolako egiaztapenik gabe. Memoriako datuen manipulazioari esker, erasotzaile batek jarraibideak kopia litzake memoriaren edozein gunetan. Larritasun kritikoko ahultasun horretarako CVE-2018-8872 identifikatzailea erabili da.
  • Memoriaren gunean idazketa baimenen kudeaketa okerra: Sistemara dei bat egiten denean, erregistroak kokapen finko batean gordetzen dira. Erasotzaile batek memoriaren gune finko horretako datuak alda ditzake eta sistemen egoeraren edo sistema gainbegiralearen kontrola hartu. Larritasun altuko ahultasun horretarako CVE-2018-7522 kodea erabili da.

Bestalde, Indusoft Web Studio eta InTouch Machine Edition produktuei eragiten dien ahultasunaren xehetasuna honakoa da:

  • Bufferrak gainezka egitea: Urruneko erasotzaile batek gaizki sortutako pakete bat egin lezake alarma, etiketa edo ekintzetan irakurketa edo idazketa gertakariak ematen ari diren bitartean bidaltzeko. Horrela urruneko kodea pribilegio gorenekin exekutatzea lor lezake. Larritasun kritikoko ahultasun horretarako CVE-2018-8840 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Schneider Electric, Ahultasuna