Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Baliabideen kontrolik gabeko kontsumoa Mitsubishi Electric-en hainbat produktutan

Argitalpen data: 2019/11/08

Garrantzia: Altua

Kaltetutako baliabideak: 

  • MELSEC-Q Series: 
    • 21081 serie zenbakia edo lehenagokoa duten Q03/04/06/13/26UDVCPU;
    • 21081 serie zenbakia edo lehenagokoa duten Q04/06/13/26UDPVCPU;
    • 21081 serie zenbakia edo lehenagokoa duten Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU.
  • MELSEC-L Series: 
    • 21101 serie zenbakia edo lehenagokoa duten L02/06/26CPU L26CPU-BT;
    • 21101 serie zenbakia edo lehenagokoa duten L02/06/26CPU-P L26CPU-PBT;
    • 21101 serie zenbakia edo lehenagokoa duten L02/06/26CPU-CM L26CPU-BT-CM.

Azalpena: 

Amazon's Customer Fulfillment Technology Security-ko Tri Quach-ek baliabideen kontrolik gabeko kontsumo erako ahultasun baten berri eman du. Ahultasun hori arrakastaz baliatuz gero kaltetutako produktuetan FTP bezeroa FTP zerbitzarira konekta dadin eragotz dezake.

Konponbidea: 

Mitsubishi Electric-ek firmware-aren bertsio berria argitaratu du ahultasuna konpontzeko. Horrez gain, Mitsubishi Electric-ek erabiltzaileei gomendatzen die gailu hori firewall baten bitartez erabiltzeko.

Xehetasuna: 

Urruneko erasotzaile batek FTP zerbitzuak zerbitzuaren ukapen egoera eragitea lor lezake, kaltetutako CPU moduluetan FTP zerbitzarira erasotzailea konektatzen den unearen arabera. Ahultasun honek FTP zerbitzariaren funtzioari soilik eragiten dio. Ahultasun horretarako CVE-2019-13555 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna