Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/10/24

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• CODESYS V2.3 ENI zerbitzariak, 3.2.2.25 baino lehenagoko bertsioak.
• CODESYS V2.3 konfigurazioak, 2.3.9.61 baino lehenagoko bertsioak, kaltetutako CODESYS ENI zerbitzariaren bertsio ahulak baitituzte.

Azalpena: 

Bufferraren gainezkatze erako ahultasun bat aurkitu da, 3S-Smart Software Solutions GmbH-ren ENI zerbitzariei eragiten diena. Erasotzaile batek urrunetik zerbitzuaren ukapen egoera eragitea edo kode arbitrarioa exekutatzea lor lezake.

Konponbidea: 

Ahultasun hau konpontzeko fabrikatzaileak kaltetutako produktua 3.2.2.25 bertsiora eguneratzea gomendatzen du.

Xehetasuna: 

Urruneko erasotzaile batek pilan (stack) oinarritutako bufferraren gainezkatze erako ahultasuna balia lezake, zerbitzuaren ukapen egoera eragiteko edo kode arbitrarioa exekutatzeko. Ahultasun horretarako CVE-2019-16265 identifikatzailea erreserbatu da

Etiketak: Eguneraketa, Ahultasuna