Argitalpen data: 2020/07/01
Garrantzia:
Altua
Kaltetutako baliabideak:
Factory Automation ingeniaritzako software
produktuen bertsioa batzuk kaltetu dira:
- CPU Module Logging Configuration Tool, 1.94Y bertsioa eta aurrekoak;
- CW Configurator, 1.010L bertsioa eta aurrekoak;
- EM Software Development Kit (EM Configurator), 1.010L bertsioa eta aurrekoak;
- GT Designer3?GOT2000), 1.221F bertsioa eta aurrekoak;
- GX LogViewer, 1.96A bertsioa eta aurrekoak;
- GX Works2, 1.586L bertsioa eta aurrekoak;
- GX Works3, 1.058L bertsioa eta aurrekoak;
- M_CommDTM-HART, 1.00A bertsioa;
- M_CommDTM-IO-Link, 1.02C bertsioa eta aurrekoak;
- MELFA-Works, 4.3 bertsioa eta aurrekoak;
- MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool, 1.004E bertsioa eta aurrekoak;
- MELSOFT FieldDeviceConfigurator, 1.03D bertsioa eta aurrekoak;
- MELSOFT iQ AppPortal, 1.11M bertsioa eta aurrekoak;
- MELSOFT Navigator, 2.58L bertsioa eta aurrekoak;
- MI Configurator, 1.003D bertsioa eta aurrekoak;
- Motion Control Setting, 1.005F bertsioa eta aurrekoak;
- MR Configurator2, 1.72A bertsioa eta aurrekoak;
- MT Works2, 1.156N bertsioa eta aurrekoak;
- RT ToolBox2, 3.72A bertsioa eta aurrekoak;
- RT ToolBox3, 1.50C bertsioa eta aurrekoak.
Azalpena:
Mitsubishi Electric PSIRT (Product Security
Incident Response Team) enpresak CISA erakundeari 2 ahultasunen berri eman dio;
bata larritasun handikoa eta bestea ertainekoa, XML (XXE) kanpo erakundearen
erreferentziaren mugatze okerraren arloko eta baliabideen kontrolik gabeko
kontsumoaren arlokoak. Factory Automation produktu batzuei eragiten diete.
Konponbidea:
Mitsubishi Electric enpresak gomendatu du
kaltetutako erabiltzaileek software produktu bakoitzaren azken bertsioa
deskargatzeko Mitsubishi Electricen
deskarga zentrotik, eta eguneratzeko.
Xehetasuna:
- Ahultasunaren ondorioz, asmo txarreko erasotzaile batek artxibo bat bidal dezake, kaltetutako produktua exekutatzen duen ekipoan. Ahultasun horretarako, CVE-2020-5602 identifikatzailea esleitu da.
- Ahultasunaren ondorioz, asmo txarreko erasotzaile batek zerbitzuaren ukapen baldintza sor lezake (DoS) kaltetutako produktuan. Ahultasun horretarako, CVE-2020-5603 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Azpiegitura Kritikoak, Ahultasuna