Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Rockwell Automation-en zenbait produktutan

Argitalpen data: 2020/06/12

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • FactoryTalk Linx, 6.00, 6.10 eta 6.11 bertsioak;
  • RSLinx Classic, 4.11.00 bertsioa eta lehenagokoak;
  • FactoryTalk Linx Software erabiltzen duten ondoko produktuak: 
    • Connected Components Workbench, 12 bertsioa eta lehenagokoak;
    • ControlFLASH, 14 bertsioa eta lehenagokoak;
    • ControlFLASH Plus, 1 bertsioa eta ondorengoak;
    • FactoryTalk Asset Centre, 9 bertsioa eta ondorengoak;
    • FactoryTalk Linx CommDTM, 1 bertsioa eta ondorengoak;
    • Studio 5000 Launcher, 31 bertsioa eta ondorengoak;
    • Studio 5000 Logix Designer software, 32 bertsioa eta ondorengoak.

Azalpena:

Claroty-ko Sharon Brizinov eta Amir Preminger-en 4 ahultasunen berri eman diote CISAri eta Rockwell Automationi, 2 larritasun kritikokoak eta 2 altukoak. Era hauetakoak dira: sarrera datuen baliozkotze okerra, bideetara kontrolatu gabeko sarbidea eta fitxategi arriskutsuen murrizpenik gabeko karga.

Konponbidea:

Fabrikatzaileak ondoko partxeak aplikatzea gomendatzen du:

Xehetasuna:

  • APIarentzat ikusgai dagoen dei batek erabiltzaileei ahalbidetzen die prozesatzeko fitxategiak ematea sanitizatu gabe. Hori baliatuz erasotzaile batek fitxategi izen bat zehaztu lezake baimendu gabeko kodea exekutatzeko, eta fitxategiak edo datuak aldatzeko. Ahultasun horretarako CVE-2020-11999 identifikatzailea erreserbatu da.
  • Fitxategi mota jakin batzuk prozesatzen dituen analisi mekanismoak ez du eskaintzen sarrerako sanititazio prozesurik. Hori baliatuz erasotzaile batek bereziki diseinatutako fitxategiak erabil litzake fitxategien sisteman zehar ibiltzeko, datu konfidentzialak aldatu edo agerian uzteko edo kode arbitrarioa exekutatzeko. Ahultasun horretarako CVE-2020-12001 identifikatzailea erreserbatu da.
  • APIarentzat ikusgai dagoen dei batek erabiltzaileei ahalbidetzen die prozesatzeko fitxategiak ematea sanitizatu gabe. Hori baliatuz erasotzaile batek bereziki diseinatutako eskaerak erabil litzake fitxategien sisteman zehar ibiltzeko eta disko gogor lokalean datu konfidentzialak agerian uzteko. Ahultasun horretarako CVE-2020-12003 identifikatzailea erreserbatu da.
  • Komunikazio funtzioan dagoen ahultasun batek erabiltzaileei ahalbidetzen die EDS fitxategiak kargatzea FactoryTalk Linx-etik. Hori baliatuz erasotzaile batek konpresio txarreko fitxategi bat karga lezake, eskuragarri dauden CPUaren baliabide guztiak kontsumituz, eta ondorioz zerbitzuaren ukapen egoera sortuko litzateke. Ahultasun horretarako CVE-2020-12005 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Azpiegitura kritikoak, Ahultasuna