Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en produktuetan

Argitalpen data: 2019/09/11

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • MEG6501-0001 - U.motion KNX server;
  • MEG6501-0002 - U.motion KNX Server Plus;
  • MEG6260-0410 - U.motion KNX Server Plus, Touch 10;
  • MEG6260-0415 - U.motion KNX Server Plus, Touch 15;
  • TwidoSuite v2.20.11, Windows 7 SP1 32-bit-en exekutatzen denean;
  • Quantum 140 NOE771x1, 6.9 eta lehenagoko bertsioak.

Azalpena: 

Hainbat eratako ahultasunak argitaratu dira: Cross-Site Scripting (XSS), sarbidearen kontrol desegokia, Server-Side Request Forgery (SSRF), string formatua, ustekabeko baldintzen kontrola, fidagarria ez den bilaketa bidea eta sarrera datuen baliozkotze okerra. Ahultasun horiek baliatuz gero erasotzaile batek kode arbitrarioa exekuta lezake, informazio sentikorra eskuratu, zerbitzuaren ukapen egoera eragin edo asmo gaiztoko fitxategiak igo.

Konponbidea: 

Honako eguneraketak aplikatzea:

  • MEG6501-0001 - U.motion KNX server, 1.3.7 bertsiora eguneratu
  • MEG6501-0002 - U.motion KNX Server Plus, 1.3.7 bertsiora eguneratu
  • MEG6260-0410 - U.motion KNX Server Plus, Touch 10, 1.3.7 bertsiora eguneratu
  • MEG6260-0415 - U.motion KNX Server Plus, Touch 15, 1.3.7 bertsiora eguneratu
  • Quantum 140 140NOE77101 y Quantum 140 140NOE77111, 7.0 bertsiora eguneratu

TwidoSuite ekipoen kasuan, Schneider-ek dio beraien bizitza zikloa amaitu dutela, eta Modicon M221 edo Modicon PLC ekipoekin ordezkatzea gomendatzen du.

Xehetasuna: 

Ondoren zehazten dira larritasun altu edo kritikoko ahultasunak:

  • Server-Side Request Forgery (SSRF) erako ahultasuna baliatuz, erasotzaile batek zerbitzariaren konfigurazioaren informazioa eskura lezake URL bat aldatzean. Ahultasun horretarako CVE-2019-6837 identifikatzailea erabili da.
  • Zerbitzuaren ukapen egoera gerta liteke harrera moduluak 65535 byte baino gehiagoko IP pakete bat jasotzen duenean. Ahultasun horretarako CVE-2019-6811 identifikatzailea erabili da.
  • Sarbidearen kontrol okerreko ahultasunaren ondorioz, fitxategien sistemak fitxategi oker batera sarbidea lor lezake. Ahultasun horretarako CVE-2019-6836 identifikatzailea erabili da.
  • String-en formatuarekin zerikusia duen ahultasuna baliatuz, erasotzaile batek bereziki diseinatutako mezuak bidal litzake komandoen exekuzioa eragiteko. Ahultasun horretarako CVE-2019-6840 identifikatzailea erabili da.
  • Sarbidearen kontrol oker erako ahultasuna baliatuz pribilegio baxuko erasotzaile batek fitxategiak igo litzake. Ahultasun horretarako CVE-2019-6839 identifikatzailea erabili da.

Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2019-6835, CVE-2019-6838 eta CVE-2019-6837.

Etiketak: Eguneraketa, Ahultasuna