Argitalpen data: 2022/03/09
Garrantzia:Kritikoa
Kaltetutako baliabideak:
- EcoStruxureTM Control Expert, V15.0 SP1 eta lehenagokoak,
- EcoStruxureTM Process Expert, V2021 eta lehenagokoak,
- Smart-UPS Family:
- SMT Series: ID=18: UPS 09.8 eta lehenagokoak; ID=1040: UPS 01.2 eta lehenagokoak; ID=1031: UPS 03. eta lehenagokoak,
- SMC Series: ID=1005: UPS 14.1 eta lehenagokoak; ID=1007: UPS 11.0 eta lehenagokoak; ID=1041: UPS 01.1 eta lehenagokoak,
- SCL Series: ID=1030: UPS 02.5 eta lehenagokoak; ID=1036: UPS 02.5 eta lehenagokoak,
- SMX Series: ID=20: UPS 10.2 eta lehenagokoak; ID=23: UPS 07.0 eta lehenagokoak,
- SRT Series: ID=1010/1019/1025: UPS 08.3 eta lehenagokoak; ID=1024: UPS 01.0 eta lehenagokoak; ID=1020: UPS 10.4 eta lehenagokoak; ID=1021: UPS 12.2 eta lehenagokoak; ID=1001/1013: UPS 05.1 eta lehenagokoak; ID=1002/1014: UPSa05.2 eta lehenagokoak,
- SmartConnect Family:
- SMT Series: ID=1015: UPS 04.5 eta lehenagokoak,
- SMC Series: ID=1018: UPS 04.2 eta lehenagokoak,
- SMTL Series: ID=1026: UPS 02.9 eta lehenagokoak,
- SCL Series: ID=1029: UPS 02.5 eta lehenagokoak; ID=1030: UPS 02.5 eta lehenagokoak; ID=1036: UPS 02.5 eta lehenagokoak; ID=1037: UPS 03.1 eta lehenagokoak,
- SMX Series: ID=1031: UPS 03.1 eta lehenagokoak,
- Ritto WiserTM Door, bertsio guztiak.
Azalpena:
Schneider Electric-ek 6 ahultasunen berri eman du, horietatik 2 larritasun kritikokoak, 2 altukoak eta 2 ertainekoak, produktu ezberdinei eragiten dietenak.
Konponbidea:
Kaltetutako produktuak bertsio zuzenduetara eguneratzea, fabrikatzailearen ohartarazpen bakoitzeko Remediation atalean zerrendatuak. Sofware konponbiderik ez badago, Mitigation atalean azaldutako neurriak ezartzea.
Xehetasuna:
Ondoren zehazten dira ahultasun kritikoak:
- SmartConnect Family gailuetan kodearen urruneko exekuzioa eragin lezakeen ahultasun bat dago, TLS pakete bat birmihiztatzean modu desegokian erabiltzen denean, eta horrek bufferraren gainezkatzea eragiten du. Ahultasun horretarako CVE-2022-22805 identifikatzailea esleitu da.
- autentifikazioaren saiheste erako ahultasun bat dago atzemate-errepikatzeagatik, eta horrek autentifikatu gabeko konexio bat eragin liezaieke SAI SmartConnect Family gailuei, gaizki sortutako konexio bat bidaltzen denean. Ahultasun horretarako CVE-2022-22806 identifikatzailea esleitu da.
Gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2022-24322, CVE-2022-24323, CVE-2022-0715 eta CVE-2021-22783.
Etiketak:Eguneraketa, Komunikazioak, IoT, SCADA, Schneider Electric, Ahultasuna